Исследователи кибербезопасности обнаружили новую версию известного вредоносного банковского трояна для Android, который имеет довольно креативный способ скрываться на виду.
PixPirate в первую очередь нацелена на бразильских потребителей, имеющих учетные записи на платформе мгновенных платежей Pix, которая, как сообщается, насчитывает более 140 миллионов клиентов и обрабатывает транзакции на сумму более 250 миллиардов долларов.
Целью кампании было перенаправление денег на счета злоумышленников. Обычно банковские трояны на Android пытаются скрыться, меняя значки и названия своих приложений. Зачастую трояны приобретали значок «Настройки» или что-то подобное, заставляя жертв искать другое место или просто боясь удалить приложение со своего устройства. PixPirate, с другой стороны, устраняет все это, вообще не имея значков.
Запуск вредоносного ПО
Большое предостережение заключается в том, что без значка жертвы не смогут запустить трояна, оставляя решающую часть уравнения злоумышленникам.
Кампания состоит из двух приложений — Dropper и Droppee. Дроппер распространяется через сторонние магазины, сомнительные веб-сайты и каналы социальных сетей и предназначен для доставки и выполнения окончательной полезной нагрузки — Droppee (после запроса доступности и других разрешений).
Droppee, имя файла PixPirate, экспортирует службу, к которой могут подключаться другие приложения. Дроппер подключается к этому сервису и позволяет ему запустить трояна. Даже после удаления дроппера вредоносное ПО может продолжать работать самостоятельно в зависимости от определенных триггеров (например, загрузки, изменений в сети или других системных событий).
Весь процесс, от сбора учетных данных пользователя до инициирования денежного перевода, автоматизирован и происходит в фоновом режиме без ведома или согласия жертвы. Единственное, что мешает, утверждают исследователи, — это разрешения Службы доступности.
Также стоит отметить, что этот метод работает только на старых версиях Android до Pie (9).
Над ПипКомпьютер
Больше от TechRadar Pro
