PixPirate Android bankacılık truva atının arkasındaki tehdit aktörleri, ele geçirilen cihazların tespitinden kaçınmak ve Brezilya'daki kullanıcılardan hassas bilgiler toplamak için yeni bir hile kullanıyor.
IBM, bugün yayınlanan teknik raporunda, bu yaklaşımın, kötü amaçlı uygulamanın simgesini kurbanın cihazının ana ekranından gizlemesine olanak tanıdığını söyledi.
Güvenlik araştırmacısı Nir Somech, “Bu yeni teknik sayesinde PixPirate keşif ve saldırı aşamalarında kurban, bu kötü amaçlı yazılımın arka planda gerçekleştirdiği kötü amaçlı işlemlerden habersiz kalıyor” dedi.
İlk olarak Şubat 2023'te Cleafy tarafından belgelenen PixPirate, hedeflenen bir bankacılık uygulaması açıldığında PIX anında ödeme platformunu kullanarak gizlice yetkisiz fon transferleri gerçekleştirmek üzere Android'in erişilebilirlik hizmetlerini kötüye kullanmasıyla tanınıyor.
Sürekli olarak mutasyona uğrayan kötü amaçlı yazılım, kurbanların çevrimiçi bankacılık kimlik bilgilerini ve kredi kartı bilgilerini çalmanın yanı sıra iki faktörlü kimlik doğrulama kodlarına erişmek için tuş vuruşlarını yakalayıp SMS mesajlarına müdahale etme yeteneğine de sahip.
Tipik olarak SMS ve WhatsApp aracılığıyla dağıtılan saldırı akışı, mali dolandırıcılığı gerçekleştirmek için ana yükü (diğer adıyla droppee) dağıtmak üzere tasarlanmış bir dropper (diğer adıyla downloader) uygulamasının kullanılmasını gerektirir.
Somech, “Genellikle indirici, droppee'yi indirmek ve yüklemek için kullanılır ve bu noktadan sonra, droppee tüm dolandırıcılık işlemlerini yürüten ana aktördür ve indirici konuyla ilgisizdir” diye açıkladı.
“PixPirate durumunda, indirici yalnızca droppee'yi indirmek ve kurmaktan değil, aynı zamanda onu çalıştırmak ve yürütmekten de sorumludur. İndirici, droppee'nin birbirleriyle iletişim kurması ve komutları göndermesi nedeniyle kötü niyetli faaliyetlerinde aktif bir rol oynar. uygulamak.”
İndirici APK uygulaması başlatıldığında, kurbandan PixPirate bileşenini aktör kontrollü bir sunucudan alması veya kendi içinde yerleşikse yüklemesi için uygulamayı güncellemesi konusunda uyarıyor.
Droppee'nin en son sürümünde değişen şey, kullanıcının ana ekrandan bir uygulamayı başlatmasına olanak tanıyan “android.intent.action.Main” eylemi ve “android.intent.category.LAUNCHER” kategorisiyle ilgili etkinliğin olmamasıdır. simgesine dokunarak.
Başka bir deyişle, enfeksiyon zinciri hem indiricinin hem de droppee'nin birlikte çalışmasını gerektirir; ilki, droppee tarafından dışa aktarılan bir hizmete bağlanarak PixPirate APK'sını çalıştırmaktan sorumludur.
Somech, “Daha sonra kalıcılığı korumak için droppee, kaydettiği farklı alıcılar tarafından çalıştırılmak üzere tetikleniyor” dedi. “Alıcılar, sistemde meydana gelen farklı olaylara göre etkinleştirilecek şekilde ayarlandı ve başlangıçta droppee'nin çalışmasını tetikleyen indirici tarafından etkinleştirilmesi gerekmiyor.”
“Bu teknik, kurban PixPirate indiricisini cihazından kaldırsa bile PixPirate droppee'sinin çalışmasına ve varlığını gizlemesine olanak tanıyor.”
Gelişme, Latin Amerika (LATAM) bankalarının, girilen kimlik bilgilerini ele geçirmek amacıyla tarayıcıdaki adam ve web enjeksiyon saldırılarını gerçekleştirmek için SATiD adlı hileli bir Microsoft Edge uzantısı kullanan Fakext adlı yeni bir kötü amaçlı yazılımın hedefi haline gelmesiyle ortaya çıktı. hedeflenen banka sitesinde.
SAT Kimliğinin, vergileri çevrimiçi olarak beyan etmek için elektronik imzalar oluşturmak ve güncellemek amacıyla Meksika Vergi İdaresi Hizmeti (SAT) tarafından sunulan bir hizmet olduğunu belirtmekte fayda var.
Belirli durumlarda Fakext, kurbanı bankanın BT destek ekibi gibi davranarak meşru bir uzaktan erişim aracı indirmeye teşvik eden ve sonuçta tehdit aktörlerinin mali dolandırıcılık yapmasına olanak tanıyan bir katman görüntüleyecek şekilde tasarlanmıştır.
En az Kasım 2023'ten bu yana aktif olan kampanya, çoğunluğu Meksika'da olmak üzere bölgede faaliyet gösteren 14 bankayı öne çıkarıyor. Uzantı o zamandan beri Edge Eklentileri mağazasından kaldırıldı.