محققان امنیت سایبری نسخه جدیدی از بدافزار معروف تروجان بانکی اندروید را یافته‌اند که روش کاملاً خلاقانه‌ای برای پنهان کردن در معرض دید عموم دارد.

PixPirate عمدتاً مشتریان برزیلی را هدف قرار می دهد که دارای حساب هایی در پلت فرم پرداخت فوری Pix هستند که گفته می شود بیش از 140 میلیون مشتری دارد و تراکنش های خدماتی آن به 250 میلیارد دلار می رسد.

هدف این کمپین هدایت پول نقد به حساب های متعلق به مهاجمان بود. معمولاً، تروجان‌های بانکی در اندروید سعی می‌کنند با تغییر نمادها و نام‌های برنامه‌های خود مخفی شوند. اغلب، تروجان‌ها نماد «تنظیمات» یا چیزی مشابه را در نظر می‌گیرند و قربانیان را فریب می‌دهند تا به جای دیگری نگاه کنند یا به سادگی ترس زیادی از حذف برنامه از دستگاه خود دارند. از طرف دیگر، PixPirate با نداشتن آیکون در وهله اول، از شر همه این موارد خلاص می شود.

اجرای بدافزار

احتیاط بزرگ در اینجا این است که بدون نماد، قربانیان نمی توانند تروجان را راه اندازی کنند، پس بخش مهم معادله به مهاجمان واگذار می شود.

این کمپین از دو برنامه تشکیل شده است - dropper و "droppee". قطره چکان در فروشگاه های شخص ثالث، وب سایت های سایه دار و از طریق کانال های رسانه های اجتماعی توزیع می شود و برای تحویل بار نهایی - droppee - و اجرای آن (پس از درخواست دسترسی و سایر مجوزها) طراحی شده است.

Droppee که نام فایل PixPirate است، سرویسی را صادر می کند که سایر برنامه ها می توانند به آن متصل شوند. قطره چکان به آن سرویس متصل می شود و به آن اجازه می دهد تروجان را اجرا کند. حتی پس از حذف قطره‌کن، بدافزار همچنان می‌تواند به تنهایی، روی محرک‌های خاصی (به عنوان مثال، هنگام راه‌اندازی، تغییر شبکه یا سایر رویدادهای سیستم) اجرا شود.

کل فرآیند، از جمع‌آوری اعتبار کاربر تا شروع انتقال پول، خودکار است و در پس‌زمینه بدون اطلاع یا رضایت قربانی انجام می‌شود. محققان ادعا می‌کنند تنها چیزی که مانع می‌شود، مجوزهای سرویس دسترسی است.

همچنین قابل ذکر است که این روش فقط بر روی نسخه های قدیمی اندروید تا پای (9) کار می کند.

از طریق Bleeping Computer

بیشتر از TechRadar Pro