Novi Android bankovni trojanac usmjerio je snage prema finansijskim institucijama Brazila, da počine prevaru koristeći platformu za plaćanje PIX.
Italijanska kompanija za kibernetičku bezbednost Cleafy, koja je otkrila maliciozni softver između kraja 2022. godine i početka 2023. godine, prati ga pod imenom PixPirate.
“PixPirate pripada najnovijoj generaciji Android bankovnog trojanca, jer može da izvrši ATS (Automatski sistem prenosa), omogućavajući napadačima da automatizuju ubacivanje malicioznog transfera novca preko platforme za instant plaćanje Pix, koju je usvojilo više brazilskih banaka”, rekli su istraživači Francesco Iubatti i Alessandro Strino.
To je također najnoviji dodatak na dugoj listi Android bankovnog malicioznog softvera za zloupotrebu API-ja za usluge pristupačnosti operativnog sistema za obavljanje njegovih malicioznih funkcija, uključujući onemogućavanje Google Play Protect-a, presretanje SMS poruka, sprečavanje deinstalacije i serviranje lažnih oglasa putem push notifikacija.
Osim krađe lozinki koje su korisnici unijeli u bankarske aplikacije, hakeri koji stoje iza operacije iskoristili su zamagljivanje koda i šifrovanje koristeći okvir poznat kao Auto.js kako bi se oduprli naporima obrnutog inženjeringa.
Aplikacije koje se koriste za isporuku PixPirate-a dolaze pod ruho aplikacija za autentifikaciju. Nema naznaka da su aplikacije objavljene u službenoj Google Play prodavnici.
Nalazi dolaze više od mjesec dana nakon što je ThreatFabric otkrio detalje o drugom malicioznom softveru pod nazivom BrasDex koji također dolazi sa ATS mogućnostima, uz zloupotrebu PIX-a za lažne transfere sredstava.
„Uvođenje ATS mogućnosti uparene s okvirima koji će pomoći razvoju mobilnih aplikacija, koristeći fleksibilnije i rasprostranjenije jezike, smanjenje krivulje učenja i vremena razvoja, moglo bi dovesti do sofisticiranijeg malicioznog softvera koji bi se u budućnosti mogao usporediti s sličnim na radnim stanicama”, rekli su istraživači.
Razvoj također dolazi kada je Cyble bacio svjetlo na novi trojanac za daljinski pristup za Android kodnog imena Gigabud RAT koji cilja korisnike na Tajlandu, Peruu i Filipinima barem od jula 2022. godine maskirajući se u bankovne i vladine aplikacije.
“RAT ima napredne funkcije kao što su snimanje ekrana i zloupotreba usluga pristupačnosti za krađu bankarskih akreditiva”, rekli su istraživači , ističući njegovu upotrebu phishing lokacija kao vektora distribucije.
Firma za kibernetičku bezbjednost je dalje otkrila da hakeri iza InTheBox darknet tržišta reklamiraju katalog od 1894 web ubrizgavanja koji su kompatibilni sa raznim Android bankovnim malicioznim softverom kao što su Alien, Cerberus, ERMAC, Hydra i Octo.
Moduli za web injektiranje, koji se uglavnom koriste za prikupljanje kredencijala i osjetljivih podataka, dizajnirani su da izdvajaju bankarstvo, usluge mobilnog plaćanja, mjenjačnice kriptovaluta i mobilne aplikacije za e-trgovinu koje obuhvataju Aziju, Evropu, Bliski istok i Ameriku.
Ali u zaokretu koji je više zabrinjavajući, lažne aplikacije su pronašle način da zaobiđu odbranu u Apple App Store-u i Google Play-u kako bi počinile ono što se zove prevara poznata kao CryptoRom.
Tehnika podrazumijeva korištenje metoda društvenog inženjeringa kao što je približavanje žrtvama putem aplikacija za upoznavanje poput Tinder-a kako bi ih naveli da preuzmu lažne aplikacije za ulaganja s ciljem krađe njihovog novca.
Zlonamjerne iOS aplikacije u pitanju su Ace Pro i MBM_BitScan, koje je Apple u međuvremenu uklonio. Google je također uklonio Android verziju MBM_BitScan-a.
Firma za kibernetičku bezbjednost Sophos, koja je došla do otkrića, rekla je da iOS aplikacije sadrže “tehniku izbjegavanja pregleda” koja je omogućila autorima malicioznog softvera da prođu proces provjere.
“Obe aplikacije koje smo pronašli koristile su udaljeni sadržaj kako bi pružile svoju malicioznu funkcionalnost – sadržaj koji je vjerovatno bio sakriven sve do završetka pregleda App Store-a”, rekao je istraživač Sophos-a Jagadeesh Chandraiah.
Prevare su započele u Kini i Tajvanu, a od tada su se posljednjih godina proširile širom svijeta, s ogromnim dijelom operacija koje se obavljaju iz posebnih ekonomskih zona u Laosu, Mjanmaru i Kambodži.
U novembru 2022. godine, Ministarstvo pravde SAD-a (DoJ) objavilo je ukidanje sedam imena domena u vezi s prijevarom kriptovaluta koja je kriminalnim akterima zaradila preko 10 miliona dolara od pet žrtava.
Izvor: The Hacker News
