Trojan bancário PixPirate Android usando nova tática de evasão para atingir usuários brasileiros
![](https://i1.wp.com/blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEilb8GiOv0ijRFp01w-5y6GgUQQNfjPUQdkZ5QYiX0z5S2Kv7o1aA_GZWLsCP3v_q2t05JTStYPe0XsrzSQ1N7QarobgEMKc6116tWKfFo7wYyDii982JSOFo1Nd4dBbP4ZsQi3_vaLSQkbnSVwGa7wJ34TgimRXfJORh3pUMoR5GgoexjFUgl8WZin4j8/s728-rw-e365/pix.jpg?w=780&resize=780,470&ssl=1)
![Trojan bancário PixPirate para Android Trojan bancário PixPirate para Android](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEilb8GiOv0ijRFp01w-5y6GgUQQNfjPUQdkZ5QYiX0z5S2Kv7o1aA_GZWLsCP3v_q2t05JTStYPe0XsrzSQ1N7QarobgEMKc6116tWKfFo7wYyDii982JSOFo1Nd4dBbP4ZsQi3_vaLSQkbnSVwGa7wJ34TgimRXfJORh3pUMoR5GgoexjFUgl8WZin4j8/s728-rw-e365/pix.jpg)
Os agentes de ameaças por trás do trojan bancário PixPirate para Android estão aproveitando um novo truque para evitar a detecção em dispositivos comprometidos e coletar informações confidenciais de usuários no Brasil.
A abordagem permite ocultar o ícone do aplicativo malicioso da tela inicial do dispositivo da vítima, disse a IBM em relatório técnico publicado hoje.
“Graças a esta nova técnica, durante as fases de reconhecimento e ataque do PixPirate, a vítima permanece alheia às operações maliciosas que este malware realiza em segundo plano”, disse o pesquisador de segurança Nir Somech.
PixPirate, que foi documentado pela primeira vez por Cleafy em fevereiro de 2023, é conhecido por abusar dos serviços de acessibilidade do Android para realizar secretamente transferências de fundos não autorizadas usando a plataforma de pagamento instantâneo PIX quando um aplicativo bancário direcionado é aberto.
O malware em constante mutação também é capaz de roubar credenciais bancárias on-line e informações de cartão de crédito das vítimas, bem como capturar pressionamentos de teclas e interceptar mensagens SMS para acessar códigos de autenticação de dois fatores.
Normalmente distribuído through SMS e WhatsApp, o fluxo de ataque envolve o uso de um aplicativo dropper (também conhecido como downloader) projetado para implantar a carga principal (também conhecido como droppee) para realizar a fraude financeira.
“Normalmente, o downloader é usado para baixar e instalar o droppee e, a partir deste ponto, o droppee é o ator principal que conduz todas as operações fraudulentas e o downloader é irrelevante”, explicou Somech.
“No caso do PixPirate, o downloader é responsável não apenas por baixar e instalar o droppee, mas também por executá-lo e executá-lo. O downloader desempenha um papel ativo nas atividades maliciosas do droppee, pois eles se comunicam entre si e enviam comandos para executar.”
O aplicativo APK de obtain, uma vez iniciado, solicita que a vítima atualize o aplicativo para recuperar o componente PixPirate de um servidor controlado pelo ator ou instalá-lo se estiver incorporado nele mesmo.
![Trojan bancário Android Trojan bancário Android](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjuLZnCXzR8kDUtasH872XcNcKjK8idfl_197KH-7vVTFQAq8nzJe2-a_Nntnt7i2EgHjnQWXQqRrlEAjwJBwF8EYVfZaktN7fgDnMbtKRe4hFvd1dQz9qN3Nmk5oWoFUiIoZF-vmOT9ESVHyGptlUywteV1V-hJV0zSt73apTvB4_V_BvCqbQJdMIzxkY/s728-rw-e365/ok.jpg)
O que mudou na versão mais recente do droppee é a ausência de atividade com a ação “android.intent.motion.Major” e a categoria “android.intent.class.LAUNCHER” que permite ao usuário iniciar um aplicativo na tela inicial tocando em seu ícone.
Em outras palavras, a cadeia de infecção exige que tanto o downloader quanto o droppee trabalhem em conjunto, sendo o primeiro responsável por executar o APK PixPirate vinculando-se a um serviço exportado pelo droppee.
“Mais tarde, para manter a persistência, o droppee também é acionado para ser executado pelos diferentes receptores que registrou”, disse Somech. “Os receptores são configurados para serem ativados com base em diferentes eventos que ocorrem no sistema e não necessariamente pelo downloader que inicialmente acionou a execução do droppee.”
“Esta técnica permite que o droppee PixPirate seja executado e oculte sua existência, mesmo que a vítima remova o downloader PixPirate de seu dispositivo.”
O desenvolvimento ocorre no momento em que os bancos latino-americanos (LATAM) se tornam alvo de um novo malware chamado Fakext, que emprega uma extensão nociva do Microsoft Edge chamada SATiD para realizar ataques man-in-the-browser e de injeção na net com o objetivo de capturar as credenciais inseridas. no web site do banco alvo.
É importante ressaltar que o SAT ID é um serviço oferecido pelo Serviço de Administração Tributária (SAT) do México para gerar e atualizar assinaturas eletrônicas para declaração de impostos on-line.
Em casos selecionados, o Fakext é projetado para exibir uma sobreposição que incentiva a vítima a baixar uma ferramenta legítima de acesso remoto, fingindo ser a equipe de suporte de TI do banco, permitindo, em última análise, que os atores da ameaça conduzam fraudes financeiras.
A campanha – ativa pelo menos desde novembro de 2023 – destaca 14 bancos que operam na região, a maioria dos quais localizados no México. Desde então, a extensão foi retirada da loja Edge Add-ons.