Trojan PixPirate zobral “hru na schovávačku” do extrému. Dokáže sa vo vašom smartfóne dokonalo skryť. Potom vám vybieli účet
PixPirate je nový druh bankového malvéru, ktorý vám dokáže vybieliť účet.
Lepšie malvéry majú cieľ ostať v zariadení čo najdlhšie schované, aby sa vyhli odhaleniu a rýchlemu vymazaniu. Bezpečnostní experti zo Security Intelligencie však tvrdia, že nový malvér PixPirate zobral “hru na schovávačku” do extrému.
PixPirate je finančný trójsky kôň, ktorý zároveň dáva hackerom možnosť ovládať napadnuté zariadenie na diaľku. Na znemožnenie odhalenia používa rôzne proti vyhľadávacie techniky. Infekcia zariadenia prebieha v dvoch krokoch. Prvým je downloader a druhým droppee. Dve aplikácie pracujú spolu a komunikujú medzi sebou.
Väčšina bankového malvéru sa pred užívateľom ukrýva tak, že falošná aplikácia schová svoju ikonu, aby užívateľ nevidel, že mu bez jeho vedomia v smartfóne pribudla nová aplikácia. Na novších zariadeniach ale toto nie je možné. PixPirate preto uplatnil techniku na schovanie ikony, ktorú bezpečnostní experti ešte u tohto typu škodlivého softvéru nevideli.
“Vďaka tejto novej metóde môže ostať malvér dobre ukrytý a obeť častokrát nemá najmenšiu predstavu, že jej na pozadí pracuje škodlivý softvér,” píšu bezpečnostní experti.
PixPirate používa nastavenia dostupnosti na to, aby si udelil všetky potrebné povolenia. Následne monitoruje aktivitu užívateľa a kradne jeho prihlasovacie údaje, číslo platobnej karty či iné dôležité informácie. Ak sa vyžaduje na prihlásenie dvojfaktorové overenie, hacker môže pristúpiť k SMS správam obete, zmeniť ich alebo ich vymazať.
PixPirate sa od ostatných bankových trojanov líši aj tým, že nejde o jednu aplikáciu, ale o dve. Vo väčšine prípadov downloader sťahuje zo serverov útočníka škodlivú aplikáciu, ktorej úlohou je robiť podvodnú činnosť. Downloader je viac-menej neškodný. V prípade PixPirate je však downloader zodpovedný nielen za stiahnutie, ale aj funkciu dropee aplikácie.
Neprehliadnite
Bezpečnostní experti ešte nič také nevideli
Obeť sa malvérom PixPirate môže najľahšie infikovať stiahnutím falošnej aplikácie, ktorú poslal útočník cez odkaz v aplikácii WhatsApp alebo v SMS správe. Opäť teda platí, že na nevyžiadané správy je najlepšie nereagovať. Po stiahnutí aplikácie a jej otvorení si aplikácia vyžiada stiahnutie aktuálnej verzie. V skutočnosti sa však sťahuje PixPirate malvér.
Downloader v tomto prípade inštaluje malvér buď z dát zabudovaných v aplikácii, alebo ho sťahuje priamo z C2 servera útočníka. Po nainštalovaní downloader posiela signál malvéru, aby sa aktivoval a začal pracovať. Počas prvého spustenia si vyžiada PixPirate prístup k nastaveniam dostupnosti. Po udelení prístupu malvér tieto nastavenia zneužíva tak, aby si udelil všetky povolenia na vykonanie finančného podvodu. Samotný malvér sa skrýva tak, že užívateľ si je vedomý, že má nahratú len downloader aplikáciu, ale o činnosti, ktorú vykonáva droppee PixPirate, netuší. V zozname aplikácii dokonca ani nevidí, že je nainštalovaná, čo by od verzie Androidu 10 nemalo byť možné. Jej vývojári ale našli cestu, ako to spraviť.
Po udelení povolení PixPirate presliedi zariadenie a zistí, či je človek vhodnou obeťou na podvod. Získa nejaké základné informácie, zistí, či ide o reálny smartfón a aké bankové aplikácie sú nainštalované. To všetko pošle na C2 server.
„Od Androidu 10 sú všetky ikony aplikácií viditeľné v spúšťači, pokiaľ nejde o systémovú aplikáciu. Pri spustení aplikácie cez API aplikácia volá, aby sa spustila. Toto musia robiť všetky nainštalované aplikácie, ktoré vidíte na obrazovke. Ak aplikácia nemá toto API aktívne, tak ju jednoducho nespustíte, lebo nie je v zozname aplikácii. Ale hackeri našli fintu, ako to obísť. Ako sme už spomínali, tak tento Trojan používa na svoje fungovanie dve aplikácie. Keď spustí prvú aplikáciu, tak tá vola cez API spustenie PixPirate. Táto zmena v správaní znamená, že ikona škodlivej aplikácie na domovskej obrazovke zariadenia obete vôbec neexistuje.“
Medzi ďalšie vlastnosti tohto nebezpečného softvéru patrí napríklad zaznamenávať kliknutia, zamykať alebo odomykať obrazovku, manipulovať s inými aplikáciami, brániť sa proti odinštalovaniu a ďalšie.
PixPirate je zatiaľ prítomný hlavne v Brazílii a útočníci tam zneužívajú tamojší platobný systém Pix. Bezpečnostní experti ale nevylučujú, že by sa mohli útoky rozšíriť aj do iných častí sveta.
Komentáre