A versão mais recente do trojan bancário PixPirate para Android utiliza um novo método para se esconder em telefones enquanto permanece ativo, mesmo que o aplicativo que disparou o malware tenha sido removido.
O PixPirate é um novo malware para Android documentado pela primeira vez pela equipe do Cleafy TIR no mês passado, alvo de bancos da América Latina.
Embora o Cleafy tenha observado que um aplicativo separado dispara o malware, o relatório não se aprofundou em seus mecanismos de esconderijo inovadores ou de persistência, ou eles foram introduzidos apenas recentemente.
Um novo relatório da IBM explica que, ao contrário da tática padrão do malware tentando esconder seu ícone, o que é possível em versões do Android até a 9, o PixPirate não usa um ícone de lançador.
Isso permite que o malware permaneça escondido em todas as versões recentes do Android até a versão 14.
No entanto, não usar um ícone cria o problema prático de não fornecer à vítima uma maneira de lançar o malware.
Os pesquisadores da IBM Trusteer explicam que as novas versões do PixPirate utilizam dois aplicativos diferentes que trabalham juntos para roubar informações dos dispositivos.
O primeiro aplicativo é conhecido como 'downloader' e é distribuído por meio de APKs (Arquivos de Pacote Android) que são espalhados por mensagens de phishing enviadas no WhatsApp ou SMS.
Esse aplicativo de download solicita acesso a permissões arriscadas na instalação, incluindo serviços de acessibilidade, e então prossegue para baixar e instalar o segundo aplicativo (chamado 'droppee'), que é o malware bancário PixPirate criptografado.
O aplicativo 'droppee' não declara uma atividade principal com "android.intent.action.MAIN" e "android.intent.category.LAUNCHER" em seu manifesto, portanto, nenhum ícone aparece na página inicial, tornando-o completamente invisível.
Em vez disso, o aplicativo droppee exporta um serviço que outros aplicativos podem se conectar, ao qual o downloader se conecta quando deseja acionar o lançamento do malware PixPirate.
Além do aplicativo dropper que pode iniciar e controlar o malware, esses gatilhos podem ser inicialização do dispositivo, alterações de conectividade ou outros eventos do sistema que o PixPirate escuta, permitindo que ele execute em segundo plano.
"O droppee tem um serviço chamado 'com.companian.date.sepherd' exportado e mantém um filtro de intenção com a ação personalizada 'com.ticket.stage.Service.'," explicam os analistas da IBM.
"Quando o downloader quer executar o droppee, ele cria e se vincula a este serviço droppee usando a API 'BindService' com a flag 'BIND_AUTO_CREATE' que cria e executa o serviço droppee."
"Após a criação e vinculação do serviço droppee, o APK droppee é lançado e começa a operar."
Mesmo que a vítima remova o aplicativo de download do dispositivo, o PixPirate pode continuar a ser lançado com base em diferentes eventos do dispositivo e esconder sua existência do usuário.
O malware tem como alvo a plataforma de pagamento instantâneo brasileira Pix, tentando desviar fundos para os atacantes interceptando ou iniciando transações fraudulentas.
A IBM diz que o Pix é muito popular no Brasil, onde mais de 140 milhões de pessoas o utilizam para realizar transações que ultrapassaram US$ 250 bilhões até março de 2023.
As capacidades RAT do PixPirate permitem automatizar todo o processo de fraude, desde a captura de credenciais de usuário e códigos de autenticação de dois fatores até a execução de transferências de dinheiro Pix não autorizadas, tudo em segundo plano sem o conhecimento dos usuários.
No entanto, isso requer permissões de serviço de acessibilidade.
Há também um mecanismo de controle manual de fallback para quando os métodos automatizados falham, dando aos atacantes outro canal para realizar fraudes no dispositivo.
O relatório do Cleafy do mês passado também destacou o uso de malvertising de notificação push e a capacidade do malware de desativar o Google Play Protect, um dos principais recursos de segurança do Android.
Embora o método de infecção do PixPirate não seja inovador e possa ser facilmente resolvido evitando downloads de APK, não usar um ícone e registrar serviços vinculados a eventos do sistema é uma nova estratégia alarmante.
O BleepingComputer entrou em contato com o Google para um comentário sobre se planeja introduzir quaisquer medidas que bloqueiem essa tática, e um porta-voz nos enviou a seguinte declaração:
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...