A PixPirate Android malware új taktikát alkalmaz a telefonokon való elrejtőzésre

LinuxMintHungary képe

Az Androidos PixPirate banki trójai legújabb verziója egy új módszert alkalmaz arra, hogy elrejtőzzön a telefonokon, miközben aktív marad, még akkor is, ha a dropper alkalmazását eltávolították.

Az IBM jelentése szerint, a rosszindulatú szoftverek szokásos taktikájával ellentétben, amelyek megpróbálják elrejteni az ikonjukat, (ami a 9-es Android-verzióig lehetséges) a PixPirate nem használ indító ikont. Ez lehetővé teszi, hogy a kártevő minden újabb Android kiadáson rejtve maradjon. Az új PixPirate verziók két különböző alkalmazást használnak, amelyek együtt dolgoznak az eszközökről történő információlopás érdekében.

Az első alkalmazást “letöltőnek” nevezik, és WhatsAppon vagy SMS-ben küldött adathalász üzeneteken, APK-kon (Android Package Files) keresztül terjesztik.

Ez a letöltő alkalmazás a telepítéskor hozzáférést kér, többek között az Accessibility Services-hez, majd letölti és telepíti a második, droppee nevű alkalmazást amely a titkosított PixPirate banki kártevő.

A droppee alkalmazás nem deklarálja a manifesztjében az android.intent.action.MAIN és az android.intent.category.LAUNCHER fő tevékenységet, így nem jelenik meg ikon a kezdőképernyőn, ezáltal teljesen láthatatlan. Ehelyett egy olyan szolgáltatást exportál, amelyhez más alkalmazások csatlakozhatnak, és amelyhez a letöltő csatlakozik, amikor a PixPirate malware-t akarja elindítani.

A droppee szolgáltatás létrehozása után a droppee APK elindul és megkezdi működését.

Még ha az áldozat el is távolítja a letöltő alkalmazást a készülékről, a PixPirate továbbra is elindulhat a különböző készülékesemények alapján, és elrejtheti létezését a felhasználó elől.

A rosszindulatú szoftver csalárd tranzakciók elfogásával vagy kezdeményezésével próbál pénzt átirányítani a támadókhoz.

A PixPirate RAT képességei lehetővé teszik, hogy automatizálja a teljes csalási folyamatot, a felhasználói hitelesítő adatok és a kétfaktoros hitelesítési kódok rögzítésétől a jogosulatlan pénzátutalások végrehajtásáig, mindezt a háttérben, a felhasználók tudta nélkül. Ehhez azonban hozzáférési szolgáltatás engedélyek szükségesek.

Van egy tartalék kézi vezérlési mechanizmus is arra az esetre, ha az automatizált módszerek kudarcot vallanak, ami a támadóknak egy másik csatornát biztosít az eszközön belüli csalások végrehajtásához. Továbbá a kártevő képes arra, hogy letiltsa a Google Play Protectet, az Android egyik alapvető biztonsági funkcióját.

Bár a PixPirate fertőzési módszere nem újszerű, és könnyen orvosolható az APK letöltések elkerülésével, az ikon használatának mellőzése és a rendszereseményekhez kötött szolgáltatások regisztrálása riasztó, új stratégia.

(forrás, forrás)

Hozzászólások

Egy újszülöttnek minden vicc új

Értékelés: 

0
Még nincs értékelve

Első látásra elég félelmetesen hangzik, de szerencsére már majdnem másfél éve létező fenyegetésről van szó.
És a hír még mindig nem a megoldásról szól.
Vicces, hogy a Nemzeti Kibervédelmi Intézet cikke azt sugallja, hogy ez egy új fenyegetés.

A megfertőződéshez ugyan az gazdi segítsége is kell, de ez a jövőben változhat.
Láttuk már korábban, hogy a Play Áruházban is rengeteg kártékony alkalmazás található.
Igaz néhány ezer letöltés után észre szokták venni.

Ugyanakkor jelenleg ez ránk nézve még nem jelent veszélyt.
A Hacker News cikke szerint ez a kártevő jelenleg a brazíliai bankrendszer hiányosságait használja ki.

„PixPirate: Új Android banki trójai a brazil pénzügyi intézményeket célozza meg

Egy új Android banki trójai a brazil pénzintézetekre vetett szemet, hogy a PIX fizetési platformot kihasználva csalást kövessen el.

Az olasz Cleafy kiberbiztonsági vállalat, amely 2022 vége és 2023 eleje között fedezte fel a kártevőt, PixPirate néven követi nyomon.

Ez egyben a legújabb tag az Android banki kártevők hosszú listáján, amelyek visszaélnek az operációs rendszer elérhetőségi szolgáltatások API-jával, hogy elvégezzék aljas funkcióikat, beleértve a Google Play Protect letiltását, az SMS-üzenetek elfogását, az eltávolítás megakadályozását és a hamis hirdetések kiszolgálását push-értesítéseken keresztül.

Amellett, hogy ellopják a felhasználók által a banki alkalmazásokban megadott jelszavakat, a művelet mögött álló fenyegető szereplők az Auto.js néven ismert keretrendszer segítségével kódelhomályosítást és titkosítást alkalmaztak, hogy ellenálljanak a visszafejtési erőfeszítéseknek."

A cikk még hosszan folytatódik:
https://thehackernews.com/2023/02/pixpirate-new-android-banking-trojan.html

Ha valaki érdeklődik a számítástechnika ezen területének újdonságai iránt, akkor itt aztán bőven vannak újdonságok.
Be lehet írni az oldal keresőjébe azt, hogy Linux, és már sorolja is a sebezhetőségeket.

Egy újszülöttnek minden vicc új

Értékelés: 

0
Még nincs értékelve

#1 Kedvcsinálónak néhány téma:

A Bluetooth kritikus biztonsági hibáját kihasználva a hackerek átvehetik az irányítást Android, Linux, macOS és iOS eszközök felett.
https://thehackernews.com/2023/12/new-bluetooth-flaw-let-hackers-take.html

Új Wi-Fi sebezhetőségek veszélyeztetik az Android és Linux eszközöket
https://thehackernews.com/2024/02/new-wi-fi-vulnerabilities-expose.html

Kritikus Boot Loader sebezhetőség a Shimben
Szinte minden Linux disztróra hatással van
https://thehackernews.com/2024/02/critical-bootloader-vulnerability-in.html