محققان امنیت سایبری نسخه جدیدی از بدافزار معروف تروجان بانکی اندروید را یافتهاند که روش کاملاً خلاقانهای برای پنهان کردن در معرض دید عموم دارد.
PixPirate عمدتاً مشتریان برزیلی را هدف قرار می دهد که دارای حساب هایی در پلت فرم پرداخت فوری Pix هستند که گفته می شود بیش از 140 میلیون مشتری دارد و تراکنش های خدماتی آن به 250 میلیارد دلار می رسد.
هدف این کمپین هدایت پول نقد به حساب های متعلق به مهاجمان بود. معمولاً، تروجانهای بانکی در اندروید سعی میکنند با تغییر نمادها و نامهای برنامههای خود مخفی شوند. اغلب، تروجانها نماد «تنظیمات» یا چیزی مشابه را در نظر میگیرند و قربانیان را فریب میدهند تا به جای دیگری نگاه کنند یا به سادگی ترس زیادی از حذف برنامه از دستگاه خود دارند. از طرف دیگر، PixPirate با نداشتن آیکون در وهله اول، از شر همه این موارد خلاص می شود.
اجرای بدافزار
احتیاط بزرگ در اینجا این است که بدون نماد، قربانیان نمی توانند تروجان را راه اندازی کنند، پس بخش مهم معادله به مهاجمان واگذار می شود.
این کمپین از دو برنامه تشکیل شده است - dropper و "droppee". قطره چکان در فروشگاه های شخص ثالث، وب سایت های سایه دار و از طریق کانال های رسانه های اجتماعی توزیع می شود و برای تحویل بار نهایی - droppee - و اجرای آن (پس از درخواست دسترسی و سایر مجوزها) طراحی شده است.
بیشتر بخوانید
Droppee که نام فایل PixPirate است، سرویسی را صادر می کند که سایر برنامه ها می توانند به آن متصل شوند. قطره چکان به آن سرویس متصل می شود و به آن اجازه می دهد تروجان را اجرا کند. حتی پس از حذف قطرهکن، بدافزار همچنان میتواند به تنهایی، روی محرکهای خاصی (به عنوان مثال، هنگام راهاندازی، تغییر شبکه یا سایر رویدادهای سیستم) اجرا شود.
کل فرآیند، از جمعآوری اعتبار کاربر تا شروع انتقال پول، خودکار است و در پسزمینه بدون اطلاع یا رضایت قربانی انجام میشود. محققان ادعا میکنند تنها چیزی که مانع میشود، مجوزهای سرویس دسترسی است.
همچنین قابل ذکر است که این روش فقط بر روی نسخه های قدیمی اندروید تا پای (9) کار می کند.
از طریق Bleeping Computer
ارسال نظر