De bedreigingsactoren achter de PixPirate Android-banktrojan maken gebruik van een nieuwe truc om detectie op besmette apparaten te omzeilen en gevoelige informatie van gebruikers in Brazilië te verzamelen.
Deze aanpak maakt het mogelijk om het pictogram van de kwaadaardige app te verbergen op het startscherm van het apparaat van het slachtoffer, aldus IBM in een vandaag gepubliceerd technisch rapport.
“Dankzij deze nieuwe techniek blijft het slachtoffer tijdens de verkennings- en aanvalsfasen van PixPirate zich niet bewust van de kwaadaardige operaties die deze malware op de achtergrond uitvoert”, aldus beveiligingsonderzoeker Nir Somech.
PixPirate, dat voor het eerst werd gedocumenteerd door Cleafy in februari 2023, staat bekend om zijn misbruik van de toegankelijkheidsdiensten van Android om heimelijk ongeautoriseerde geldoverboekingen uit te voeren met behulp van het PIX-platform voor directe betaling wanneer een gerichte bankapp wordt geopend.
De voortdurend muterende malware is ook in staat de inloggegevens voor online bankieren en creditcardgegevens van slachtoffers te stelen, maar ook toetsaanslagen vast te leggen en sms-berichten te onderscheppen om toegang te krijgen tot tweefactorauthenticatiecodes.
Meestal verspreid via sms en WhatsApp, omvat de aanvalsstroom het gebruik van een dropper-app (ook wel downloader genoemd) die is ontworpen om de belangrijkste lading (ook wel droppee genoemd) in te zetten om de financiële fraude te plegen.
“Meestal wordt de downloader gebruikt om de droppee te downloaden en te installeren, en vanaf dit punt is de droppee de hoofdrolspeler die alle frauduleuze handelingen uitvoert en is de downloader niet meer relevant”, legt Somech uit.
“In het geval van PixPirate is de downloader niet alleen verantwoordelijk voor het downloaden en installeren van de droppee, maar ook voor het uitvoeren en uitvoeren ervan. De downloader speelt een actieve rol in de kwaadaardige activiteiten van de droppee terwijl ze met elkaar communiceren en opdrachten sturen naar uitvoeren.”
Zodra de downloader APK-app is gestart, wordt het slachtoffer gevraagd de app bij te werken om de PixPirate-component op te halen van een door een acteur bestuurde server of om deze te installeren als deze in zichzelf is ingebed.
Wat is veranderd in de nieuwste versie van de droppee is de afwezigheid van activiteit met de actie “android.intent.action.Main” en de categorie “android.intent.category.LAUNCHER” waarmee een gebruiker een app vanaf het startscherm kan starten door op het pictogram te tikken.
Anders gezegd: de infectieketen vereist dat zowel de downloader als de droppee samenwerken, waarbij de eerste verantwoordelijk is voor het uitvoeren van de PixPirate APK door te binden aan een service die door de droppee wordt geëxporteerd.
“Later, om de persistentie te behouden, wordt de droppee ook geactiveerd door de verschillende ontvangers die hij heeft geregistreerd”, zei Somech. “De ontvangers zijn ingesteld om te worden geactiveerd op basis van verschillende gebeurtenissen die in het systeem plaatsvinden en niet noodzakelijkerwijs door de downloader die de droppee in eerste instantie heeft geactiveerd.”
“Dankzij deze techniek kan de PixPirate-droppee worden uitgevoerd en zijn bestaan verbergen, zelfs als het slachtoffer de PixPirate-downloader van zijn apparaat verwijdert.”
De ontwikkeling komt op het moment dat Latijns-Amerikaanse (LATAM) banken het doelwit zijn geworden van een nieuwe malware genaamd Fakext, die gebruik maakt van een frauduleuze Microsoft Edge-extensie genaamd SATiD om man-in-the-browser- en webinjectie-aanvallen uit te voeren met als doel ingevoerde inloggegevens te bemachtigen. op de beoogde banksite.
Het is vermeldenswaard dat SAT ID een dienst is die wordt aangeboden door de Mexicaanse Belastingdienst (SAT) om elektronische handtekeningen te genereren en bij te werken voor het online indienen van belastingen.
In bepaalde gevallen is Fakext ontworpen om een overlay weer te geven die het slachtoffer aanspoort een legitieme tool voor externe toegang te downloaden door zich voor te doen als het IT-ondersteuningsteam van de bank, waardoor de bedreigingsactoren uiteindelijk financiële fraude kunnen plegen.
De campagne – actief sinds minstens november 2023 – richt zich op veertien banken die actief zijn in de regio, waarvan het merendeel in Mexico is gevestigd. De extensie is inmiddels verwijderd uit de Edge Add-ons-winkel.
