PixPirate Android Kötü Amaçlı Yazılım Banka Şifrelerini Çalıyor


Banka Şifrelerini Çalan Kötü Amaçlı Yazılım

Brezilya’nın para otoritesi Brezilya Merkez Bankası (BCB) tarafından geliştirilen ve yönetilen, ödemelerin ve transferlerin hızlı bir şekilde gerçekleştirilmesini sağlayan anında ödeme platformu Pix’in kullanıma sunulmasıyla birlikte.

Şu anda 100 milyondan fazla kayıtlı hesabı saymaktadır; Anında ödemelerin benimsenmesi Avrupa’da, Amerika’da ve son zamanlarda Brezilya’da da hızla artıyor.

Vahşi doğada kısa süre önce tespit edilen böyle bir tehdit, Brezilya’yı ve diğer LATAM ülkelerini hedef alan yeni bir mobil kötü amaçlı yazılım türüdür. Bu kötü amaçlı yazılımın ana hedefleri, hassas verileri çalmak ve onu sıklıkla kullanan Pix platformu kullanıcılarına karşı dolandırıcılık yapmaktır.

Cleafy’nin 2022’nin sonu ile 2023’ün başı arasında keşfettiği “PixPirate” adlı kötü amaçlı yazılım, ATS’yi (Otomatik Transfer Sistemi) kullanabilen en yeni nesil Android bankacılık truva atlarıdır.

DÖRT

Saldırganların, birçok Brezilya bankası tarafından kullanılan Anında Ödeme platformu Pix üzerinden otomatik olarak kötü niyetli bir para transferi eklemesine olanak tanır.

PixPirate Kötü Amaçlı Yazılımı Üzerinde Çalışmak

PixPirate, kendisini kurbanlara güvenilir bir uygulama olarak gösterirken, aslında iyi bilinen adlar ve simgelerin arkasında zararlı amaçlara hizmet ediyor.

2022’nin sonunda araştırmacılar, TA’lar tarafından teslim edilen ve iyi bir şekilde konsolide edilmiş gibi görünen aşağıdaki sahte örnekleri keşfettiler:

Şekil 1 - PixPirate tarafından kullanılan ana adlar/simgeler
PixPirate tarafından kullanılan ana adlar/simgeler

Cleafy, “PixPirate genellikle, bankacılık Truva Atı’nı indirmek (veya bazı durumlarda yalnızca paketini açmak) ve yüklemek için kullanılan bir damlalık uygulaması kullanılarak sunulur”, diyor Cleafy.

“PixPirate, kurulumu sırasında, kurban kabul edene kadar sahte pop-up’larla ısrarla talep edilen Erişilebilirlik Hizmetlerini hemen etkinleştirmeye çalışır.”

Diğer uygulamalarla iletişim kurmak için özellikler sundukları için, bankacılık truva atları sıklıkla erişilebilirlik hizmetlerinden yararlanır. Kurbandan izin aldıktan sonra PixPirate, tüm zararlı özelliklerini etkinleştirir.

Android bankacılığı kötü amaçlı yazılımı, Google Play Protect’i devre dışı bırakma, SMS mesajlarını ele geçirme, yüklemeyi kaldırmayı önleme ve push bildirimleri yoluyla sahte reklamlar gönderme gibi kötü amaçlı görevlerini gerçekleştirmek için erişilebilirlik hizmetleri API’sinden yararlanır.

Tarayıcılardan Banka Şifrelerini Çalma

Kötü amaçlı yazılım, bankacılık uygulamalarından kullanıcı tarafından girilen şifreleri çalıyor, araştırmacılar, operasyonun arkasındaki tehdit aktörlerinin tersine mühendislik girişimlerini engellemek için Auto.js çerçevesini kullanarak kod gizleme ve şifreleme kullandığını söylüyor.

PixPirate’in JavaScript modüllerinden biri ve iyi bilinen Android erişilebilirlik özellikleri kullanılarak bankacılık şifresi çalınır. Her bankacılık uygulamasının farklı bir düzeni olduğundan, hedeflenen her bankanın bu modülün içinde benzersiz bir işlevi vardır.

PixPirate, Erişilebilirlik Servisleri aracılığıyla bankanın etkinliğinin çeşitli UI öğelerini ve ekranda görüntülenen parola öğesini ayırt edebilir. Parola giriş metninde herhangi bir değişiklik fark ederse kullanıcının parolasını alır.

Şekil 6 - Hedef bankanın şifresini çalmak için kullanılan kodun bir kısmına örnek
Hedeflenen bankanın şifresini çalmak için kullanılan bir kod parçası örneği

PixPirate Kötü Amaçlı Yazılımının Ek Özellikleri

Ek olarak PixPirate, belirli bir metni içeren SMS mesajlarını silmek için kullanılabilecek bir komut dosyası içerir.

Kötü amaçlı yazılım, varsayılan SMS uygulaması ön planda etkinken uzun tıklama, sil düğmesini seçme ve silme işlemini tamamlama yeteneğine sahiptir.

Cleafy araştırmacıları, “PixPirate tarafından analizi yavaşlatmak için benimsenen ana karşı önlemler arasında, uygulamanın çalışma zamanında kaldırılmasını önlemeye çalışan klasik işlevler dışında kod gizleme ve şifreleme yer alıyor” diye açıklıyor.

Tehdit aktörleri, iletişimleri ortadaki adam saldırılarından korumak için popüler bir yöntem olan sertifika sabitlemeyi dahil etti.

PixPirate’in çok sayıda Brezilya kurumu tarafından kullanılan Pix anında ödeme sistemine de saldırdığı görüldü.

Sonuç olarak, araştırmacılar yakın gelecekte PixPirate örneğini takip edecek, diğer LATAM ülkelerini hedef alacak ve hatta dikkatlerini başka bölgelere kaydıracak daha fazla tehdidin olacağını göz ardı etmenin mümkün olmadığını söylüyor. gelişimin ilk aşamalarında olduğu görülüyor.

Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin



Source link