Các tin tặc đằng sau trojan ngân hàng Android PixPirate đang tận dụng một thủ thuật mới để tránh bị phát hiện trên các thiết bị bị xâm nhập và thu thập thông tin nhạy cảm từ người dùng ở Brazil.
Cách tiếp cận này cho phép nó ẩn biểu tượng của ứng dụng độc hại khỏi màn hình chính của thiết bị nạn nhân, IBM cho biết trong một báo cáo kỹ thuật được công bố hôm nay.
"Nhờ kỹ thuật mới này, trong các giai đoạn trinh sát và tấn công của PixPirate, nạn nhân vẫn không biết gì về các hoạt động độc hại mà phần mềm độc hại này thực hiện trong nền", nhà nghiên cứu bảo mật Nir Somech cho biết.
PixPirate, lần đầu tiên được Cleafy ghi nhận vào tháng 2/2023, được biết đến với việc lạm dụng các dịch vụ trợ năng của Android để bí mật thực hiện chuyển tiền trái phép bằng nền tảng thanh toán tức thì PIX khi một ứng dụng ngân hàng được nhắm mục tiêu được mở.
Phần mềm độc hại liên tục biến đổi cũng có khả năng đánh cắp thông tin đăng nhập ngân hàng trực tuyến và thông tin thẻ tín dụng của nạn nhân, cũng như nắm bắt các lần nhấn phím và chặn tin nhắn SMS để truy cập mã xác thực hai yếu tố.
Thường được phân phối qua SMS và WhatsApp, luồng tấn công đòi hỏi phải sử dụng ứng dụng nhỏ giọt (hay còn gọi là trình tải xuống) được thiết kế để triển khai tải trọng chính (hay còn gọi là droppee) để thực hiện gian lận tài chính.
"Thông thường, trình tải xuống được sử dụng để tải xuống và cài đặt droppee, và kể từ thời điểm này, droppee là tác nhân chính thực hiện tất cả các hoạt động gian lận và trình tải xuống không liên quan", Somech giải thích.
"Trong trường hợp của PixPirate, trình tải xuống không chỉ chịu trách nhiệm tải xuống và cài đặt droppee mà còn chạy và thực thi nó. Trình tải xuống đóng một vai trò tích cực trong các hoạt động độc hại của droppee khi chúng giao tiếp với nhau và gửi lệnh để thực thi.
Ứng dụng APK của trình tải xuống, sau khi được khởi chạy, sẽ nhắc nạn nhân cập nhật ứng dụng để truy xuất thành phần PixPirate từ máy chủ do diễn viên điều khiển hoặc cài đặt nó nếu nó được nhúng trong chính nó.
Trong một số trường hợp được chọn, Fakext được thiết kế để hiển thị một lớp phủ thúc giục nạn nhân tải xuống một công cụ truy cập từ xa hợp pháp bằng cách tự xưng là nhóm hỗ trợ CNTT của ngân hàng, cuối cùng cho phép các tác nhân đe dọa thực hiện gian lận tài chính.
Chiến dịch - hoạt động ít nhất từ tháng 11/2023 - chọn ra 14 ngân hàng hoạt động trong khu vực, phần lớn trong số đó nằm ở Mexico. Tiện ích mở rộng đã bị gỡ xuống khỏi cửa hàng Tiện ích bổ sung cạnh.