Злоумышленники, стоящие за банковским трояном PixPirate для Android, используют новый трюк, чтобы избежать обнаружения на скомпрометированных устройствах и получить конфиденциальную информацию от пользователей в Бразилии.
Этот подход позволяет ему скрывать значок вредоносного приложения с главного экрана устройства жертвы, говорится в опубликованном сегодня техническом отчете IBM.
"Благодаря этому новому методу на этапах разведки и атаки PixPirate жертва остается в неведении о вредоносных операциях, которые это вредоносное ПО выполняет в фоновом режиме", - сказал исследователь безопасности Нир Сомеч.
PixPirate, впервые задокументированная Cleafy в феврале 2023 года, известна тем, что злоупотребляет сервисами доступности Android для скрытого осуществления несанкционированных переводов средств с использованием платформы мгновенных платежей PIX при открытии целевого банковского приложения.
Постоянно изменяющееся вредоносное ПО также способно красть учетные данные онлайн-банка жертв и информацию о кредитных картах, а также фиксировать нажатия клавиш и перехватывать SMS-сообщения для доступа к кодам двухфакторной аутентификации.
Обычно распространяемая через SMS и WhatsApp, атака предполагает использование приложения-дроппера (он же downloader), разработанного для развертывания основной полезной нагрузки (он же droppee) для осуществления финансового мошенничества.
"Обычно загрузчик используется для загрузки и установки droppee, и с этого момента droppee является основным действующим лицом, проводящим все мошеннические операции, а загрузчик не имеет значения", - объяснил Сомеч.
"В случае PixPirate загрузчик несет ответственность не только за загрузку и установку droppee, но и за его запуск. Загрузчик играет активную роль в вредоносных действиях droppee, поскольку они общаются друг с другом и отправляют команды для выполнения."
После запуска APK-приложения downloader жертве предлагается обновить приложение, чтобы либо получить компонент PixPirate с сервера, контролируемого участником, либо установить его, если он встроен в него самого.
Что изменилось в последней версии droppee, так это отсутствие активности с действием "android.intent.action.Main" и категорией "android.intent.category."ЛАУНЧЕР", который позволяет пользователю запускать приложение с главного экрана, нажав на его значок.
Иными словами, цепочка заражения требует, чтобы загрузчик и droppee работали в тандеме, причем первый отвечает за запуск PixPirate APK путем привязки к сервису, экспортируемому droppee.
"Позже, для поддержания постоянства, droppee также запускается различными получателями, которых он зарегистрировал", - сказал Сомеч. "Приемники настроены на активацию в зависимости от различных событий, происходящих в системе, и не обязательно загрузчиком, который изначально запустил отправитель".
"Этот метод позволяет PixPirate droppee запускаться и скрывать свое существование, даже если жертва удаляет PixPirate downloader со своего устройства".
Разработка происходит в связи с тем, что банки Латинской Америки (LATAM) стали мишенью новой вредоносной программы под названием Fakext, которая использует вредоносное расширение Microsoft Edge под названием SATiD для проведения атак типа "человек в браузере" и веб-инъекций с целью захвата учетных данных, введенных на целевом банковском сайте.
Стоит отметить, что SAT ID - это услуга, предлагаемая Службой налогового администрирования Мексики (SAT) для генерации и обновления электронных подписей для онлайн-подачи налоговых деклараций.
В некоторых случаях Fakext разработан для отображения оверлея, который побуждает жертву загрузить законный инструмент удаленного доступа, выдавая себя за команду ИТ-поддержки банка, что в конечном итоге позволяет субъектам угрозы осуществлять финансовое мошенничество.
Кампания, действующая как минимум с ноября 2023 года, выявляет 14 банков– действующих в регионе, большинство из которых расположены в Мексике. С тех пор расширение было удалено из магазина дополнений Edge.
Этот подход позволяет ему скрывать значок вредоносного приложения с главного экрана устройства жертвы, говорится в опубликованном сегодня техническом отчете IBM.
"Благодаря этому новому методу на этапах разведки и атаки PixPirate жертва остается в неведении о вредоносных операциях, которые это вредоносное ПО выполняет в фоновом режиме", - сказал исследователь безопасности Нир Сомеч.
PixPirate, впервые задокументированная Cleafy в феврале 2023 года, известна тем, что злоупотребляет сервисами доступности Android для скрытого осуществления несанкционированных переводов средств с использованием платформы мгновенных платежей PIX при открытии целевого банковского приложения.
Постоянно изменяющееся вредоносное ПО также способно красть учетные данные онлайн-банка жертв и информацию о кредитных картах, а также фиксировать нажатия клавиш и перехватывать SMS-сообщения для доступа к кодам двухфакторной аутентификации.
Обычно распространяемая через SMS и WhatsApp, атака предполагает использование приложения-дроппера (он же downloader), разработанного для развертывания основной полезной нагрузки (он же droppee) для осуществления финансового мошенничества.
"Обычно загрузчик используется для загрузки и установки droppee, и с этого момента droppee является основным действующим лицом, проводящим все мошеннические операции, а загрузчик не имеет значения", - объяснил Сомеч.
"В случае PixPirate загрузчик несет ответственность не только за загрузку и установку droppee, но и за его запуск. Загрузчик играет активную роль в вредоносных действиях droppee, поскольку они общаются друг с другом и отправляют команды для выполнения."
После запуска APK-приложения downloader жертве предлагается обновить приложение, чтобы либо получить компонент PixPirate с сервера, контролируемого участником, либо установить его, если он встроен в него самого.
Что изменилось в последней версии droppee, так это отсутствие активности с действием "android.intent.action.Main" и категорией "android.intent.category."ЛАУНЧЕР", который позволяет пользователю запускать приложение с главного экрана, нажав на его значок.
Иными словами, цепочка заражения требует, чтобы загрузчик и droppee работали в тандеме, причем первый отвечает за запуск PixPirate APK путем привязки к сервису, экспортируемому droppee.
"Позже, для поддержания постоянства, droppee также запускается различными получателями, которых он зарегистрировал", - сказал Сомеч. "Приемники настроены на активацию в зависимости от различных событий, происходящих в системе, и не обязательно загрузчиком, который изначально запустил отправитель".
"Этот метод позволяет PixPirate droppee запускаться и скрывать свое существование, даже если жертва удаляет PixPirate downloader со своего устройства".
Разработка происходит в связи с тем, что банки Латинской Америки (LATAM) стали мишенью новой вредоносной программы под названием Fakext, которая использует вредоносное расширение Microsoft Edge под названием SATiD для проведения атак типа "человек в браузере" и веб-инъекций с целью захвата учетных данных, введенных на целевом банковском сайте.
Стоит отметить, что SAT ID - это услуга, предлагаемая Службой налогового администрирования Мексики (SAT) для генерации и обновления электронных подписей для онлайн-подачи налоговых деклараций.
В некоторых случаях Fakext разработан для отображения оверлея, который побуждает жертву загрузить законный инструмент удаленного доступа, выдавая себя за команду ИТ-поддержки банка, что в конечном итоге позволяет субъектам угрозы осуществлять финансовое мошенничество.
Кампания, действующая как минимум с ноября 2023 года, выявляет 14 банков– действующих в регионе, большинство из которых расположены в Мексике. С тех пор расширение было удалено из магазина дополнений Edge.
