Gelişmiş bir Brezilya bankacılık Truva Atı, Android cihazlarda varlığını gizlemek için yeni bir yöntem kullanıyor.
“PixPirate” çok yönlü bir kötü amaçlı yazılımdır Brezilya Merkez Bankası tarafından geliştirilen, banka havaleleri yapmaya yönelik bir uygulama olan Pix'ten yararlanmak için özel olarak tasarlandı. Pix iyi bir hedeftir Brezilya bağlantılı siber suçlular henüz 3 yaşında olmasına rağmen çoğu Brezilya bankasının çevrimiçi platformuna entegre olduğundan ve 150 milyondan fazla kullanıcısı olduğundan Statista'ya göre. Her ay toplamda 3 milyar civarında işlem gerçekleştiriliyor. yaklaşık 250 milyar dolar Brezilya reali değerinde.
PixPirate'in en yeni güçlü numarası, şurada belgelenmiştir: IBM'den yeni bir blog yazısı, Google mühendislerinin bu belirli şeyin olmasını önlemek için tasarladığı korumalara rağmen, bir Android cihazdaki varlığını akıllıca nasıl gizlediğidir (uygulama simgesi yok, görünüşte hiçbir ayak izi yok). Uzmanlar, benzer bir taktiğin ABD ve AB'yi hedef alan kötü amaçlı bankacılık işlemleri için de uygulanabileceği konusunda uyarıyor.
PixPirate Enfeksiyonları Nasıl Çalışır?
PixPirate, geçmişin bankacılık Truva atlarının son teknoloji mirasçısıdır.
Genellikle, potansiyel kurbanlara WhatsApp veya SMS kullanılarak gönderilen sahte bir banka kimlik doğrulama uygulaması aracılığıyla yayılır. Bağlantıya tıklandığında bir indirici indirilir ve bu indirici, kullanıcıdan sahte uygulamanın “güncellenmiş” bir sürümünü (PixPirate verisi) indirmesini ister.
IBM Trusteer'da güvenlik mobil araştırmacısı Nir Somech şöyle açıklıyor: “Kurbanın bakış açısına göre, indiricinin meşru olduğunu düşündüğü için indirici tarafından PixPirate kötü amaçlı yazılımının yüklendiğinden habersizler. Dolayısıyla şüpheli herhangi bir şeyden şüphelenmeleri pek olası değil.”
Kötü amaçlı yazılım, bir Android telefona rahatça yerleştirildiğinde, kullanıcı gerçek bir bankacılık uygulamasını açana kadar bekler. Bu noktada devreye giriyor ve yazdıkları oturum açma kimlik bilgilerini alıp bunları saldırganın kontrolündeki bir komuta ve kontrol (C2) sunucusuna gönderiyor. Hesap erişimi elindeyken, kullanıcıya sahte bir ikinci ekran sunarken alttaki bankacılık uygulamasını açar, Pix sayfasına ulaşmak için gerekli düğmelere programlı bir şekilde basar ve ardından yetkisiz bir transfer gerçekleştirir.
PixPirate aynı zamanda bu finansal dolandırıcılığı kolaylaştırmak için cihazın konumunu belirlemekten tuş kaydetmeye, ekranını kilitlemeye ve kilidini açmaya, kişilere ve çağrı geçmişlerine erişmeye, uygulamaları yükleme ve silmeye, yeniden başlatma sonrasında kalıcılığa ve daha fazlasına kadar düzinelerce başka özelliğe de sahiptir.
Ancak en yeni, en gelişmiş özelliği, kendisine dair tüm kanıtları kullanıcıdan nasıl gizlediğidir.
PixPirate Android'de Kendini Nasıl Gizliyor?
Geleneksel olarak kötü amaçlı uygulamalar, yalnızca ana ekran simgelerini gizleyerek ele geçirilen cihazlardaki varlıklarını gizlerdi.
Ancak Android 10'dan itibaren bu imkansız hale geldi. Günümüzde, tüm uygulama simgelerinin görünür olması, sistem uygulamaları için veya kullanıcıdan izin istemeyen uygulamalar için kaydedilmesi gerekir.
Beğenmek ondan önceki her siber güvenlik ilerlemesiBu olumlu değişiklik aynı zamanda yaratıcı bir kısıtlama görevi de gördü. Somech, “Bu, tehdit aktörlerinin uyum sağlamasını sağladı; bu yeni mekanizmada da bunu görüyoruz; simge mevcut olmadığı için gizlenmeye ihtiyaç duymuyor” diyor.
“Mevcut değil” derken, PixPirate'in cihazda hiçbir ana faaliyeti olmadığını, yani başlatıcının olmadığını kastediyor. Peki başlatıcısı olmayan bir uygulama nasıl başlatılır?
Önemli olan, indiricinin yük yerine etkin bir şekilde cihazda çalışan uygulama olmasıdır. İstendiğinde, onu çalıştırabilecek dışa aktarılmış bir hizmet oluşturup ona bağlanarak yükü başlatır. Daha sonra ikisi iletişim kurmaya devam ediyor ve kötü niyetli komutlar aktarıyorlar.
Kalıcılık açısından, indirici tarafından ilk kez tetiklendikten sonra yük hizmeti, cihazda belirli başka olaylar tetiklendiğinde etkinleştirilen diğer “alıcılara” da bağlanır.
IBM Trusteer'a göre bu, uygulama simgesi olmadan çalışmak için bu yöntemi kullanan ilk finansal kötü amaçlı yazılımdır.
ABD Ödeme Uygulamaları Savunmasız mı?
PixPirate'in ABD bankaları ve Venmo, Zelle ve PayPal gibi bankacılık uygulamaları için bir tehdit oluşturabileceğinden endişe duyanlar için hem iyi hem de kötü haberler var.
İyi haber şu ki, kötü amaçlı yazılım ısmarlama. Critical Start siber tehdit istihbaratı araştırma analisti Sarah Jones, “PixPirate, Pix ödeme sistemindeki farklı mimarilere ve güvenlik mekanizmalarına sahip ABD ödeme uygulamaları için doğrudan geçerli olmayabilecek belirli işlevselliklerden ve güvenlik açıklarından yararlanıyor” diye açıklıyor. “Temel işlevler uyarlanabilse bile, kötü amaçlı yazılımın erişilebilirlik hizmetlerini kötüye kullanmaya dayanması, ABD uygulamaları tarafından kullanılan farklı erişilebilirlik uygulamalarıyla uyum sağlamak için değişiklikler gerektirebilir.”
Ancak kendisi şu uyarıda bulunuyor: “Tam bir kopyası engellerle karşılaşsa da, PixPirate tarafından kullanılan temel teknikler ABD ödeme sistemleri için endişelere yol açıyor. Erişilebilirlik hizmetlerinin kötü amaçlarla kötüye kullanılması kavramı, saldırganlara ABD uygulamalarındaki diğer savunmasız işlevleri hedefleme konusunda ilham verebilir.”
“Böylece PixPirate'in ABD ödeme sistemlerine yönelik doğrudan tehdidi sınırlı olsa da, ortaya çıkışı hassas mali bilgilerin korunmasında proaktif güvenlik önlemlerinin öneminin altını çiziyor.”