Les auteurs de la menace derrière le cheval de Troie bancaire Android PixPirate exploitent une nouvelle astuce pour échapper à la détection sur les appareils compromis et récolter des informations sensibles auprès des utilisateurs au Brésil.
Cette approche lui permet de masquer l’icône de l’application malveillante sur l’écran d’accueil de l’appareil de la victime, a déclaré IBM dans un rapport technique publié aujourd’hui.
« Grâce à cette nouvelle technique, lors des phases de reconnaissance et d’attaque de PixPirate, la victime reste inconsciente des opérations malveillantes que ce malware effectue en arrière-plan », explique le chercheur en sécurité Nir Somech. dit.
PixPirate, qui a été documenté pour la première fois par Cleafy en février 2023, est connu pour son abus des services d’accessibilité d’Android afin d’effectuer secrètement des transferts de fonds non autorisés à l’aide de la plateforme de paiement instantané PIX lorsqu’une application bancaire ciblée est ouverte.
Le logiciel malveillant en constante mutation est également capable de voler les identifiants bancaires en ligne et les informations de carte de crédit des victimes, ainsi que de capturer les frappes au clavier et d’intercepter les messages SMS pour accéder aux codes d’authentification à deux facteurs.
Généralement distribué via SMS et WhatsApp, le flux d’attaque implique l’utilisation d’une application dropper (alias téléchargeur) conçue pour déployer la charge utile principale (alias droppee) afin de réaliser la fraude financière.
« Habituellement, le téléchargeur est utilisé pour télécharger et installer le droppee, et à partir de ce moment, le droppee est le principal acteur menant toutes les opérations frauduleuses et le téléchargeur n’a plus d’importance », a expliqué Somech.
« Dans le cas de PixPirate, le téléchargeur est responsable non seulement du téléchargement et de l’installation du droppee, mais également de son exécution. Le téléchargeur joue un rôle actif dans les activités malveillantes du droppee car ils communiquent entre eux et envoient des commandes à exécuter. »
L’application de téléchargement APK, une fois lancée, invite la victime à mettre à jour l’application pour soit récupérer le composant PixPirate à partir d’un serveur contrôlé par un acteur, soit l’installer s’il est intégré en lui-même.
Ce qui a changé dans la dernière version du droppee, c’est l’absence d’activité avec l’action « android.intent.action.Main » et la catégorie « android.intent.category.LAUNCHER » qui permet un utilisateur de lancer une application depuis l’écran d’accueil en appuyant sur son icône.
En d’autres termes, la chaîne d’infection nécessite que le téléchargeur et le droppee travaillent en tandem, le premier étant responsable de l’exécution de l’APK PixPirate en se liant à un fichier APK. service exporté par le droppee.
« Plus tard, pour maintenir la persistance, le droppee est également déclenché par les différents récepteurs qu’il a enregistrés », a déclaré Somech. « Les récepteurs sont configurés pour être activés en fonction de différents événements qui se produisent dans le système et pas nécessairement par le téléchargeur qui a initialement déclenché l’exécution du droppee. »
« Cette technique permet au droppee PixPirate de s’exécuter et de masquer son existence même si la victime supprime le téléchargeur PixPirate de son appareil. »
Cette évolution intervient alors que les banques d’Amérique latine (LATAM) sont devenues la cible d’un nouveau malware appelé Faux texte qui utilise une extension Microsoft Edge malveillante nommée SATiD pour mener des attaques d’homme dans le navigateur et par injection Web dans le but de récupérer les informations d’identification saisies sur le site bancaire ciblé.
Il convient de noter que ID SAT est un service proposé par le Service de l’administration fiscale (SAT) du Mexique pour générer et mettre à jour des signatures électroniques pour la déclaration de revenus en ligne.
Dans certains cas, Fakext est conçu pour afficher une superposition invitant la victime à télécharger un outil d’accès à distance légitime en prétendant être l’équipe d’assistance informatique de la banque, permettant ainsi aux acteurs malveillants de commettre une fraude financière.
La campagne – active depuis au moins novembre 2023 – distingue 14 banques opérant dans la région, dont une majorité située au Mexique. L’extension a depuis été supprimée de la boutique Edge Add-ons.