Специалисты по информационной безопасности предупредили пользователей о распространении новой версии известного банковского трояна PixPirate, который работает в операционной системе Android. Этот вредоносный код скрывается в телефонах пользователей и остаётся в течение долгого времени активным, даже если соответствующее вредоносное мобильное приложение, которое его доставило на пользовательское устройство, было удалено.
PixPirate — это новое вредоносное программное обеспечение для Android, впервые задокументированное экспертами команды Cleafy TIR в феврале 2024 года.
В новом отчёте компании IBM объясняется, что в отличие от стандартной тактики вредоносных программ, пытающихся скрыть свой значок, что возможно в версиях Android до 9, PixPirate не использует иконку запуска. Это позволяет вредоносному ПО оставаться скрытым во всех последних версиях ОС Android до 14.0. Но отсутствие иконки создаёт практическую проблему, заключающуюся в том, что жертва не может запустить вредоносное ПО.
Исследователи из команды IBM Trusteer объясняют, что в новых версиях PixPirate используются два разных приложения, которые вместе крадут информацию с пользовательских устройств.
Первое приложение, представленное как «загрузчик», распространяется через APK-файлы (файлы пакетов Android), которые передаются через фишинговые сообщения, отправленные в WhatsApp или SMS. Это приложение-загрузчик запрашивает доступ к широкому кругу разрешений при установке, в том числе и к службе специальных возможностей, а затем приступает к загрузке и установке второго приложения (названного droppee), которое представляет собой зашифрованное банковское вредоносное ПО PixPirate.
Приложение droppee не объявляет основное действие с «android.intent.action.MAIN» и «android.intent.category.LAUNCHER» в своём манифесте, поэтому на главном экране не отображается значок, что делает его полностью невидимым. Вместо этого, приложение-«дроппи» экспортирует сервис, к которому могут подключиться другие приложения, и к которому подключается загрузчик, когда он хочет инициировать запуск вредоносного ПО PixPirate.
Помимо приложения-дроппера, которое может запускать и контролировать вредоносное ПО, этими триггерами могут быть загрузка устройства, изменения подключения или другие системные события, которые прослушивает PixPirate, позволяя ему выполняться в фоновом режиме.
Оригинал публикации на сайте CISOCLUB: "Пользователей предупредили о распространении нового опасного вируса PixPirate для Android".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.