PixPirate Banking-Trojaner
Im Februar 2024 brachten Cybersicherheitsforscher die Existenz einer bisher unbekannten Android-Malware namens PixPirate ans Licht. Diese Bedrohung wurde bei gezielten Angriffen gegen Banken in Lateinamerika eingesetzt. Derzeit warnen Experten davor, dass eine aktualisierte Version des Banking-Trojaners PixPirate aufgetaucht ist, die über eine neue Stealth-Technik verfügt, die es ihm ermöglicht, auf Geräten bestehen zu bleiben, selbst nachdem seine Dropper-Anwendung entfernt wurde.
Inhaltsverzeichnis
PixPirate nutzt zwei verschiedene Anwendungen, um Bankinformationen von den Android-Telefonen der Opfer zu sammeln
Forscher haben eine deutliche Abweichung von der herkömmlichen Strategie von Malware festgestellt, insbesondere bei PixPirate. Im Gegensatz zu typischer Malware, die versucht, ihr Symbol zu verbergen, was bei Android-Versionen bis 9 möglich ist, verwendet PixPirate stattdessen überhaupt kein Startsymbol. Dieser einzigartige Ansatz ermöglicht es, dass die Malware auf neueren Android-Systemen bis zur Version 14 verborgen bleibt. Das Fehlen eines Symbols stellt jedoch eine weitere Herausforderung dar: Es bietet den Opfern keine Möglichkeit, die Malware zu initiieren. Um dieses Problem zu umgehen, setzt PixPirate zwei unterschiedliche Anwendungen ein, die zusammenarbeiten, um vertrauliche Daten von den infizierten Geräten zu sammeln.
Die ursprüngliche Anwendung, der sogenannte „Downloader“, wird in Form von APKs (Android Package Files) verbreitet und über Phishing-Nachrichten auf Plattformen wie WhatsApp oder SMS verbreitet. Bei der Installation fordert diese Downloader-Anwendung Zugriff auf risikoreiche Berechtigungen, einschließlich Barrierefreiheitsdienste. Anschließend wird die zweite Anwendung namens „Droppee“ abgerufen und installiert, bei der es sich um die verschlüsselte Banking-Malware PixPirate handelt.
Die „droppee“-Anwendung verzichtet darauf, eine primäre Aktivität mit „android.intent.action.MAIN“ und „android.intent.category.LAUNCHER“ in ihrem Manifest zu deklarieren, wodurch sichergestellt wird, dass auf dem Startbildschirm kein Symbol vorhanden ist und dieser vollständig angezeigt wird unauffällig. Stattdessen exportiert die Droppee-Anwendung einen Dienst, auf den andere Anwendungen zugreifen können. Der Downloader stellt eine Verbindung zu diesem Dienst her, um bei Bedarf den Start der PixPirate-Malware zu veranlassen.
Verschiedene Auslöser können die Ausführung des Banking-Trojaners PixPirate starten
Neben der Fähigkeit der Dropper-Anwendung, die Malware zu initiieren und zu kontrollieren, kann PixPirate auch durch verschiedene Systemereignisse ausgelöst werden, wie z. B. das Booten des Geräts oder Änderungen in der Konnektivität, die es aktiv überwacht. Dadurch kann PixPirate heimlich im Hintergrund des Geräts des Opfers agieren.
Die Droppee-Komponente von PixPirate verfügt über einen Dienst namens „com.companian.date.sepherd“, der exportiert und mit einem Intent-Filter ausgestattet wird, der die benutzerdefinierte Aktion „com.ticket.stage.Service“ nutzt. Wenn der Downloader beabsichtigt, das Droppee zu aktivieren, stellt er eine Verbindung mit diesem Dienst her, indem er die API „BindService“ zusammen mit dem Flag „BIND_AUTO_CREATE“ verwendet. Diese Aktion führt zur Erstellung und Ausführung des Droppee-Dienstes.
Nach dem Erstellungs- und Bindungsprozess des Droppee-Dienstes wird die Droppee-APK gestartet und nimmt ihren Betrieb auf. Zu diesem Zeitpunkt kann PixPirate, selbst wenn das Opfer die Downloader-Anwendung vom Gerät entfernt, den durch verschiedene Geräteereignisse ausgelösten Betrieb weiterhin aufrechterhalten und gleichzeitig seine Anwesenheit effektiv vor dem Benutzer verbergen.
PixPirate zielt speziell auf die Pix-Zahlungsplattform ab
Die Malware zielt speziell auf die Instant-Payment-Plattform Pix in Brasilien ab und zielt darauf ab, durch das Abfangen oder Initiieren betrügerischer Transaktionen Gelder an Angreifer abzuschöpfen. Pix erfreut sich in Brasilien großer Beliebtheit: Stand März 2023 führten über 140 Millionen Nutzer Transaktionen im Wert von über 250 Milliarden US-Dollar durch.
PixPirate nutzt RAT-Funktionen (Remote Access Trojan), um den gesamten betrügerischen Prozess zu automatisieren, von der Erfassung von Benutzeranmeldeinformationen und Zwei-Faktor-Authentifizierungscodes bis hin zur Ausführung nicht autorisierter Pix-Geldtransfers, alles heimlich und ohne Kenntnis des Benutzers. Um diese Aufgaben zu erfüllen, ist jedoch der Erwerb von Accessibility Service-Berechtigungen erforderlich.
Darüber hinaus verfügt PixPirate über einen manuellen Fallback-Kontrollmechanismus für Fälle, in denen automatisierte Methoden versagen, und bietet Angreifern so eine alternative Möglichkeit, Betrug auf dem Gerät durchzuführen. Forscher betonen außerdem, dass die Schadsoftware Push-Benachrichtigungen als Malvertising nutzt und Google Play Protect, eine grundlegende Sicherheitsfunktion der Android-Plattform, deaktivieren kann.
Während die von PixPirate verwendete Infektionsmethode nicht bahnbrechend ist und durch den Verzicht auf das Herunterladen nicht autorisierter APKs abgemildert werden kann, stellt die Übernahme von Strategien wie dem Fehlen eines Symbols und der Registrierung von Diensten, die an Systemereignisse gebunden sind, einen besorgniserregenden und neuartigen Ansatz dar.
