Бессмертный троян использует встроенные функции устройства для автоматизации кражи средств.
https://www.securitylab.ru/upload/ib...fdn8t1g4du.jpg
IBM раскрыла детали о троянской программе PixPirate, которая атакует пользователей Android в Бразилии, обходя системы безопасности на заражённых устройствах и похищая финансовую информацию.
PixPirate применяет уловку, позволяющую скрыть иконку вредоносного приложения с главного экрана устройства жертвы, тем самым делая его невидимым для пользователя во время фазы разведки и атаки. Такая техника позволяет PixPirate работать в фоновом режиме, не вызывая подозрений у жертвы.
PixPirate способен:<ul><li>злоупотребля� �ь службами специальных возможностей Android для совершения несанкционированных переводов средств через платформу мгновенных платежей PIX;</li>
</ul><ul><li>похищать учётные данные онлайн-банка;</li>
</ul><ul><li>информацию о банковских картах;</li>
</ul><ul><li>регистрировать нажатия клавиш (кейлоггинг);</li>
</ul><ul><li>перехватывать SMS-сообщения для доступа к кодам двухфакторной аутентификации.</li>
</ul>https://www.securitylab.ru/upload/me...ys4wkh2hpt.png
Цепочка заражения PixPirate
PixPirate распространяется через SMS и WhatsApp, применяя приложение-загрузчик для установки основного компонента, отвечающего за финансовое мошенничество. В отличие от традиционных атак, где загрузчик служит только для скачивания и установки, в случае с PixPirate он активно участвует в мошеннических операциях, исполняя команды и обмениваясь сообщениями с основным компонентом.
Приложение-загрузчик APK после запуска предлагает жертве обновить приложение, чтобы либо получить компонент PixPirate с сервера злоумышленника, либо установить компонент, если он встроен в само приложение.
В последней версии вредоноса отсутствует активность, позволяющая запускать приложение с главного экрана, что делает его ещё более скрытым. Даже при удалении загрузчика PixPirate с устройства, основной компонент продолжает работать, благодаря механизмам постоянства, активируемым различными системными событиями.
PixPirate впервые был задокументирован Cleafy в феврале 2023 года. Тогда специалисты отметили, что PixPirate принадлежит к новейшему поколению банковских троянов для Android, поскольку он может не только отключать защиту Google Play Protect, но и выполнять функции системы автоматического перевода (ATS). Опция позволяет злоумышленникам автоматизировать процесс вредоносных денежных переводов через платформу мгновенных платежей Pix, активно используемую несколькими бразильскими банками.
Code:
<pre class="alt2" dir="ltr" style="
margin: 0px;
padding: 6px;
border: 1px solid rgb(0, 0, 0);
width: 640px;
height: 34px;
text-align: left;
overflow: auto;
background: rgb(37, 37, 37) none repeat scroll 0% 0%;
border-radius: 5px;
font-size: 11px;
text-shadow: none;">https://securityintelligence.com/posts/pixpirate-brazilian-financial-malware/</pre>