Gli attori minacciosi dietro al trojan bancario Android PixPirate stanno sfruttando un nuovo trucco per evitare la rilevazione sui dispositivi compromessi e raccogliere informazioni sensibili dagli utenti in Brasile.
L’approccio consente di nascondere l’icona dell’applicazione dannosa dalla schermata principale del dispositivo della vittima, ha dichiarato IBM in un rapporto tecnico pubblicato oggi.
Grazie a questa nuova tecnica, durante le fasi di ricognizione e attacco di PixPirate, la vittima rimane all’oscuro delle operazioni maliziose che questo malware esegue in background,” ha detto il ricercatore di sicurezza Nir Somech.
PixPirate, documentato per la prima volta da Cleafy nel febbraio 2023, è noto per il suo abuso dei servizi di accessibilità di Android per eseguire in modo nascosto trasferimenti di fondi non autorizzati utilizzando la piattaforma di pagamento istantaneo PIX quando viene aperta un’applicazione bancaria mirata.
Il malware in costante mutamento è anche in grado di rubare le credenziali bancarie online delle vittime e le informazioni delle carte di credito, oltre a catturare le pressioni dei tasti e intercettare i messaggi SMS per accedere ai codici di autenticazione a due fattori.
Di solito distribuito tramite SMS e WhatsApp, il flusso di attacco prevede l’uso di un’applicazione dropper (detta anche downloader) progettata per distribuire il carico utile principale (detto anche droppee) per effettuare la frode finanziaria.
Di solito, il downloader viene utilizzato per scaricare e installare il droppee, e da questo momento in poi, il droppee è il principale attore che conduce tutte le operazioni fraudolente e il downloader è irrilevante,” ha spiegato Somech.
Nel caso di PixPirate, il downloader è responsabile non solo del download e dell’installazione del droppee, ma anche dell’esecuzione di esso. Il downloader svolge un ruolo attivo nelle attività maliziose del droppee in quanto comunicano tra loro e inviano comandi per eseguire.”
L’applicazione APK del downloader, una volta avviata, chiede alla vittima di aggiornare l’app per recuperare il componente PixPirate da un server controllato dall’attore o installarlo se è incluso al suo interno.
Ciò che è cambiato nell’ultima versione del droppee è l’assenza di attività con l’azione “android.intent.action.Main” e la categoria “android.intent.category.LAUNCHER” che consente a un utente di avviare un’app dalla schermata principale toccando la sua icona.
In altre parole, la catena di infezione richiede che sia il downloader che il droppee lavorino insieme, con il primo responsabile dell’esecuzione dell’APK PixPirate legandosi a un servizio esportato dal droppee.
In seguito, per mantenere la persistenza, il droppee viene anche attivato dall’interno di diversi ricevitori che esso stesso ha registrato,” ha detto Somech. “I ricevitori sono impostati per essere attivati in base a diversi eventi che si verificano nel sistema e non necessariamente dal downloader che ha inizialmente attivato il droppee.
Questa tecnica consente al droppee di PixPirate di eseguire e nascondere la sua esistenza anche se la vittima rimuove il downloader di PixPirate dal proprio dispositivo.
