To PixPirate Android banking trojan στοχεύει χρήστες στη Βραζιλία και συλλέγει ευαίσθητα δεδομένα, χρησιμοποιώντας ένα νέο τέχνασμα που βοηθά στην αποφυγή του εντοπισμού.

Σύμφωνα με μια νέα έκθεση της IBM, αυτό το τέχνασμα περιλαμβάνει την απόκρυψη του εικονιδίου της κακόβουλης εφαρμογής από την αρχική οθόνη της συσκευής του θύματος. Έτσι, το θύμα δεν αντιλαμβάνεται τις κακόβουλες ενέργειες που γίνονται στο παρασκήνιο.

Το PixPirate banking trojan αναλύθηκε για πρώτη φορά από την Cleafy τον Φεβρουάριο του 2023 και συνήθως καταχράται τις υπηρεσίες προσβασιμότητας του Android για την εκτέλεση μη εξουσιοδοτημένων μεταφορών χρημάτων χρησιμοποιώντας την πλατφόρμα άμεσων πληρωμών PIX, όταν ανοίγει μια στοχευμένη τραπεζική εφαρμογή.

Το Android banking trojan κλέβει, επίσης, online banking credentials και πληροφορίες πιστωτικών καρτών των θυμάτων. Είναι, ακόμα, σε θέση να καταγράφει πατήματα πλήκτρων και να κλέβει μηνύματα SMS για πρόσβαση σε κωδικούς ελέγχου ταυτότητας δύο παραγόντων.

Δείτε επίσης: CHAVECLOAK: Νέο banking trojan στοχεύει χρήστες στη Βραζιλία

Συνήθως διανέμεται μέσω SMS και WhatsApp μηνυμάτων και συνεπάγεται τη χρήση μιας εφαρμογής dropper (γνωστή και ως downloader) που έχει σχεδιαστεί για να αναπτύσσει το κύριο payload.

Συνήθως, το downloader χρησιμοποιείται για τη λήψη και εγκατάσταση του payload και από αυτό το σημείο και μετά, το payload είναι ο κύριος παράγοντας που διεξάγει όλες τις δόλιες λειτουργίες“, εξήγησε ερευνητής της IBM.

Σύμφωνα με τον ερευνητή, στην περίπτωση του PixPirate Android banking trojan, το downloader είναι υπεύθυνο όχι μόνο για τη λήψη και εγκατάσταση του payload αλλά και για την εκτέλεσή του.

Το downloader παίζει ενεργό ρόλο στις κακόβουλες δραστηριότητες του payload καθώς επικοινωνούν μεταξύ τους και στέλνουν εντολές για εκτέλεση“.

Μόλις ενεργοποιηθεί το downloader APK app, ζητά από το θύμα να ενημερώσει την εφαρμογή είτε για να ανακτήσει το PixPirate component από έναν διακομιστή που ελέγχεται από τους επιτιθέμενους είτε για να το εγκαταστήσει εάν είναι ενσωματωμένο μαζί του.

Αυτό που άλλαξε στην τελευταία έκδοση του payload είναι η απουσία δραστηριότητας με την ενέργεια “android.intent.action.Main” και την κατηγορία “android.intent.category.LAUNCHER”, που επιτρέπει σε έναν χρήστη να εκκινήσει μια εφαρμογή από την αρχική οθόνη πατώντας το εικονίδιό της.

Δείτε επίσης: Anatsa: Το Android banking trojan πέρασε στο Google Play και στοχεύει περισσότερες χώρες

Με άλλα λόγια, η αλυσίδα μόλυνσης απαιτεί την παράλληλη λειτουργία του downloader και του payload, με το πρώτο να είναι υπεύθυνο για την εκτέλεση του PixPirate APK.

Αργότερα, για να διατηρηθεί το persistence, το payload ενεργοποιείται για να τρέξει από τους διαφορετικούς receivers που κατέγραψε. Οι receivers έχουν ρυθμιστεί να ενεργοποιούνται με βάση διαφορετικά συμβάντα που συμβαίνουν στο σύστημα και όχι απαραίτητα από το downloader που ενεργοποίησε αρχικά το payload για να εκτελεστεί“.

Αυτή η τεχνική επιτρέπει στο PixPirate να τρέξει και να κρύψει την ύπαρξή του ακόμα κι αν το θύμα αφαιρέσει το PixPirate downloader από τη συσκευή του“.

Το τελευταίο διάστημα, οι χρήστες της Βραζιλίας βρίσκονται στο στόχαστρο hackers που χρησιμοποιούν banking trojans για τη συλλογή σημαντικών οικονομικών δεδομένων και credentials. Για παράδειγμα, ένα νέο banking trojan με το όνομα CHAVECLOAK, στοχεύει χρήστες στη Βραζιλία, μέσω phishing emails με κακόβουλα συνημμένα PDF.

Προστασία από banking trojans

Για να προστατευτείτε από τα Banking Trojan, όπως το PixPirate, είναι ζωτικής σημασίας να διατηρείτε το λειτουργικό σύστημα και το λογισμικό ασφαλείας της συσκευής σας ενημερωμένο. Αυτό περιλαμβάνει την εγκατάσταση των τελευταίων ενημερώσεων και patches που παρέχονται από τον κατασκευαστή του λειτουργικού συστήματος και του λογισμικού ασφαλείας.

Επιπλέον, είναι σημαντικό να χρησιμοποιείτε ένα αξιόπιστο πρόγραμμα προστασίας από ιούς και malware. Αυτό θα πρέπει να παρέχει προστασία σε πραγματικό χρόνο και να είναι σε θέση να ανιχνεύσει και να απομακρύνει τα Banking Trojans.

Δείτε επίσης: Το Coyote banking trojan έχει μολύνει 61 τραπεζικές εφαρμογές

Επίσης, πρέπει να είστε προσεκτικοί με τα emails και τα μηνύματα που λαμβάνετε. Πολλά Banking Trojans διαδίδονται μέσω phishing emails που προσπαθούν να παραπλανήσουν τους χρήστες να κάνουν κλικ σε επικίνδυνους συνδέσμους.

Τέλος, αποφύγετε τη λήψη εφαρμογών που φαίνονται ύποπτες. Αν ζητούν περισσότερες άδειες από αυτές που χρειάζονται για να λειτουργήσουν σωστά, μην τις κατεβάζετε στη συσκευή σας.

Πηγή: thehackernews.com