Android bankacılık kötü amaçlı yazılımı PixPirate, tespit edilmekten kaçınmak için yenilikçi tekniklerle gizliliğin sınırlarını zorluyor.
IBM Trusteer araştırmacıları, kötü amaçlı yazılımın, özellikle Brezilya'daki finans kurumlarını önemli ölçüde tehdit eden karmaşık yöntemlerini ortaya çıkardı.
Bir finansal uzaktan erişim truva atı (RAT) olan PixPirate, tespit edilmemek için gelişmiş araştırma karşıtı taktikler kullanır.
Kurbanın bilgisi olmadan dolandırıcılık faaliyetlerini yürütmek için birlikte çalışan iki kötü amaçlı uygulama (bir indirici ve bir droppee) aracılığıyla çalışır.
Android'in Güvenlik Önlemlerinden Kaçınmak
Geleneksel olarak bankacılık kötü amaçlı yazılımları, SetComponentEnabledSetting API'sini kullanarak başlatıcı simgesini kaldırarak varlığını gizler.
Ancak Android 10'un güvenlik geliştirmeleri bu yöntemi geçersiz kıldı.
PixPirate, keşif ve saldırı aşamalarında kurbanın görüş alanından etkili bir şekilde kaybolarak bu kısıtlamaları yeni bir yaklaşımla aşıyor.
Güvenlik istihbaratı raporuna göre, Brezilya'dan gelen bir finansal kötü amaçlı yazılım olan PixPirate, şu anda çoğu antivirüs yazılımı tarafından tespit edilemiyor.
PixPirate'in RAT Yetenekleri
PixPirate, RAT yetenekleri kazanmak için erişilebilirlik hizmetinden yararlanarak kullanıcı etkinliklerini izlemesine ve çevrimiçi bankacılık kimlik bilgileri ve kredi kartı bilgileri gibi hassas bilgileri çalmasına olanak tanır.
Ayrıca iki faktörlü kimlik doğrulama (2FA) önlemlerini atlamak için SMS mesajlarını da yönetebilir.
PixPirate'in temel özellikleri şunları içerir:
- Uygulama manipülasyonu ve kontrolü
- Keylogging
- Uygulama envanteri toplama
- Uygulama yükleme ve kaldırma
- Cihaz ekranı kilitleme ve kilidini açma
- Telefon hesaplarına ve kişi listelerine erişim
- Cihaz konum takibi
- Anti-VM ve anti-debug özellikleri
- Yeniden başlatma sonrasında kalıcılık
- WhatsApp aracılığıyla yayılıyor
- SMS mesajı manipülasyonu
- Google Play Korumayı Devre Dışı Bırakma
Bu yetenekler, PixPirate'in banka güvenlik sistemlerinin tetiklenmesini önlemek için kurbanın cihazından işlemler gerçekleştirerek cihaz içi dolandırıcılık (ODF) gerçekleştirmesine olanak tanır.
Siber güvenlik uzmanı Shah Sheikh, yakın zamanda kurbanın sisteminde tespit edilmeden kalacak şekilde tasarlanmış Brezilyalı bir finansal kötü amaçlı yazılım olan PixPirate hakkında tweet attı.
PixPirate'in Enfeksiyon Akışı
Tek bir Android Paketine (APK) dayanan tipik finansal kötü amaçlı yazılımların aksine PixPirate iki bileşenden oluşur.
İndirici uygulaması yalnızca droppee'yi yüklemek için bir kanal değildir; Kötü amaçlı yazılımın yürütülmesine, iletişimin sürdürülmesine ve komutların gönderilmesine aktif olarak katılır.
Kurbanlara genellikle WhatsApp veya SMS kimlik avı mesajları aracılığıyla gönderilen kötü amaçlı bağlantılardan bulaşır.
İndirici meşru bir bankacılık uygulaması gibi davranarak kurbanları PixPirate kötü amaçlı yazılımı olan bir “güncelleme” yüklemeleri için kandırıyor.
PixPirate'in Yenilikçi Saklama Tekniği
PixPirate'in droppee uygulamasının birincil bir etkinliği yoktur, yani başlatıcı simgesi yoktur ve ana ekranda görünmez. İndirici uygulaması, aksi takdirde hareketsiz kalacak olan droppee'yi tetikler.
Bu teknik, kurban indiriciyi kaldırsa bile kötü amaçlı yazılımın kalıcı olmasını sağlar.
PixPirate, fonları dolandırıcıların hesaplarına yönlendirmek için işlemleri manipüle ederek Brezilya'nın anında ödeme platformu Pix'i hedef alıyor.
Kötü amaçlı yazılım, kullanıcının bir bankacılık uygulamasını açmasını bekler, ardından oturum açma kimlik bilgilerini ele geçirerek yetkisiz transferler gerçekleştirir.
Otomatik ve Manuel Dolandırıcılık Uygulaması
PixPirate, her işlem süreci adımı için önceden kodlanmış etkinliklerle otomatik olarak dolandırıcılık gerçekleştirebilir.
Ayrıca dolandırıcıların kurbanın cihazını uzaktan kontrol etmesine ve işlemleri gerçek zamanlı olarak yürütmesine olanak tanıyan bir manuel modu da bulunuyor.
PixPirate, gizli kalma yeteneği ve mali zarar potansiyeli nedeniyle bir tehdit oluşturmaktadır.
Kullanıcılar ve finans kuruluşları, gelişen bu tehditlere karşı korunmak için bu tür kötü amaçlı yazılımlar hakkında bilgi sahibi olmalıdır.
Perimeter81 kötü amaçlı yazılım korumasıyla Truva atları, fidye yazılımları, casus yazılımlar, rootkit'ler, solucanlar ve sıfır gün saldırıları dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Hepsi inanılmaz derecede zararlıdır ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.