PixPirate – новый банковский троян для Android, использующий опасную функцию

Новый банковский троян для Android нацелился на бразильские финансовые учреждения для совершения мошенничества с использованием платежной платформы Pix. Итальянская компания по кибербезопасности Cleafy , которая обнаружила вредоносное ПО в конце прошлого года, отслеживает его под именем PixPirate.

«PixPirate принадлежит к новейшему поколению банковских троянов для Android, поскольку он может выполнять функции системы автоматического перевода ( ATS ). Эта функция позволяет злоумышленникам автоматизировать процесс вредоносных денежных переводов через платформу мгновенных платежей Pix, активно используемую несколькими бразильскими банками», — заявили исследователи Cleafy.

PixPirate дополняет длинный список вредоносных программ в сфере Android-банкинга. Все они используют уязвимости API специальных возможностей операционной системы для выполнения своих вредоносный действий, включая отключение Google Play Protect, перехват SMS-сообщений, предотвращение собственного удаления, показ мошеннической рекламы через push-уведомления и т.д.

Помимо кражи паролей, введенных пользователями в банковских приложениях, злоумышленники, стоящие за операцией, используют обфускацию и шифрование кода с помощью платформы Auto.js, чтобы противостоять усилиям специалистов по обратной разработке ( реверс-инжиниринг ) и раскрытию исходного кода.

Вредоносное приложение-аутентификатор, необходимое для доставки вредоноса на устройство

Приложения-дропперы, используемые для доставки PixPirate, скрываются под видом приложений-аутентификаторов, распространяемых, как правило, через apk-файлы на фишинговых сайтах. На данный момент никаких подтверждений того, что эти приложения были опубликованы в официальном магазине Google Play.

Исследователи Cleafy выражают свои опасения по поводу появления в ближайшее время более сложных вредоносных программ, также использующих технологию ATS.