Trojan bancário PixPirate Android usando nova tática de evasão para atingir usuários brasileiros
Os agentes de ameaças por trás do trojan bancário PixPirate para Android estão aproveitando um novo truque para evitar a detecção em dispositivos comprometidos e coletar informações confidenciais de usuários no Brasil.
A abordagem permite ocultar o ícone do aplicativo malicioso da tela inicial do dispositivo da vítima, disse a IBM em relatório técnico publicado hoje.
“Graças a esta nova técnica, durante as fases de reconhecimento e ataque do PixPirate, a vítima permanece alheia às operações maliciosas que este malware realiza em segundo plano”, disse o pesquisador de segurança Nir Somech.
PixPirate, que foi documentado pela primeira vez por Cleafy em fevereiro de 2023, é conhecido por abusar dos serviços de acessibilidade do Android para realizar secretamente transferências de fundos não autorizadas usando a plataforma de pagamento instantâneo PIX quando um aplicativo bancário direcionado é aberto.
O malware em constante mutação também é capaz de roubar credenciais bancárias on-line e informações de cartão de crédito das vítimas, bem como capturar pressionamentos de teclas e interceptar mensagens SMS para acessar códigos de autenticação de dois fatores.
Normalmente distribuído through SMS e WhatsApp, o fluxo de ataque envolve o uso de um aplicativo dropper (também conhecido como downloader) projetado para implantar a carga principal (também conhecido como droppee) para realizar a fraude financeira.
“Normalmente, o downloader é usado para baixar e instalar o droppee e, a partir deste ponto, o droppee é o ator principal que conduz todas as operações fraudulentas e o downloader é irrelevante”, explicou Somech.
“No caso do PixPirate, o downloader é responsável não apenas por baixar e instalar o droppee, mas também por executá-lo e executá-lo. O downloader desempenha um papel ativo nas atividades maliciosas do droppee, pois eles se comunicam entre si e enviam comandos para executar.”
O aplicativo APK de obtain, uma vez iniciado, solicita que a vítima atualize o aplicativo para recuperar o componente PixPirate de um servidor controlado pelo ator ou instalá-lo se estiver incorporado nele mesmo.
O que mudou na versão mais recente do droppee é a ausência de atividade com a ação “android.intent.motion.Major” e a categoria “android.intent.class.LAUNCHER” que permite ao usuário iniciar um aplicativo na tela inicial tocando em seu ícone.
Em outras palavras, a cadeia de infecção exige que tanto o downloader quanto o droppee trabalhem em conjunto, sendo o primeiro responsável por executar o APK PixPirate vinculando-se a um serviço exportado pelo droppee.
“Mais tarde, para manter a persistência, o droppee também é acionado para ser executado pelos diferentes receptores que registrou”, disse Somech. “Os receptores são configurados para serem ativados com base em diferentes eventos que ocorrem no sistema e não necessariamente pelo downloader que inicialmente acionou a execução do droppee.”
“Esta técnica permite que o droppee PixPirate seja executado e oculte sua existência, mesmo que a vítima remova o downloader PixPirate de seu dispositivo.”
O desenvolvimento ocorre no momento em que os bancos latino-americanos (LATAM) se tornam alvo de um novo malware chamado Fakext, que emprega uma extensão nociva do Microsoft Edge chamada SATiD para realizar ataques man-in-the-browser e de injeção na net com o objetivo de capturar as credenciais inseridas. no web site do banco alvo.
É importante ressaltar que o SAT ID é um serviço oferecido pelo Serviço de Administração Tributária (SAT) do México para gerar e atualizar assinaturas eletrônicas para declaração de impostos on-line.
Em casos selecionados, o Fakext é projetado para exibir uma sobreposição que incentiva a vítima a baixar uma ferramenta legítima de acesso remoto, fingindo ser a equipe de suporte de TI do banco, permitindo, em última análise, que os atores da ameaça conduzam fraudes financeiras.
A campanha – ativa pelo menos desde novembro de 2023 – destaca 14 bancos que operam na região, a maioria dos quais localizados no México. Desde então, a extensão foi retirada da loja Edge Add-ons.
