PixPirate: Μετονομάστηκε σε Fakext και στοχεύει χρηματοπιστωτικά ιδρύματα
Το Android banking trojan PixPirate, όπως αποκαλύφθηκε από την IBM σε πρόσφατη έκθεση, υιοθετεί μια πρωτότυπη στρατηγική για να αποφύγει την ανίχνευσή του και να πραγματοποιεί τις κακόβουλες δραστηριότητές του αδιακρίτως σε στοχευμένες συσκευές, ιδιαίτερα στη Βραζιλία.
Αυτή η νέα μέθοδος περιλαμβάνει την απόκρυψη του εικονιδίου του trojan από την αρχική οθόνη της συσκευής, εξασφαλίζοντας ότι οι χρήστες παραμένουν ανυποψίαστοι για τις κακόβουλες ενέργειες που λαμβάνουν χώρα στο παρασκήνιο.
Το PixPirate αναγνωρίστηκε πρωτοποριακά από την Cleafy τον Φεβρουάριο του 2023. Είναι γνωστό για την εκμετάλλευση των υπηρεσιών προσβασιμότητας του Android, εκτελώντας μη εξουσιοδοτημένες μεταφορές κεφαλαίων μέσω της πλατφόρμας πληρωμών PIX κάθε φορά που ένας χρήστης αποκτά πρόσβαση σε συγκεκριμένη τραπεζική εφαρμογή. Επιπλέον, αυτό το σύνθετο κακόβουλο λογισμικό μπορεί να κλέψει τα διαπιστευτήρια των χρηστών για την online τραπεζική, τις λεπτομέρειες των πιστωτικών καρτών, να παρεμβαίνει σε μηνύματα SMS και να καταγράφει τα πλήκτρα που πατούν, συμπεριλαμβανομένων κωδικών επαλήθευσης δύο παραγόντων.
Η μεταφορά του PixPirate συνήθως γίνεται μέσω SMS και WhatsApp, χρησιμοποιώντας μια εφαρμογή dropper για να μεταφέρει το κακόβουλο “φορτίο”. Σε αυτή την περίπτωση, το PixPirate όχι μόνο το εγκαθιστά, αλλά επίσης συμμετέχει ενεργά στη χειραγώγηση κακόβουλων δραστηριοτήτων, επικοινωνώντας με το “φορτίο” και εκτελώντας εντολές.
Στην πιο πρόσφατη έκδοση του PixPirate, παρατηρήθηκαν σημαντικές αλλαγές, ειδικά όσον αφορά στην απουσία δραστηριότητας που σχετίζεται με την εκκίνηση της εφαρμογής από την αρχική οθόνη. Η αλλαγή αυτή στη ροή μόλυνσης αναδεικνύει την αλληλεξάρτηση μεταξύ του προγράμματος λήψης και του κύριου φορτίου, με το πρώτο να ξεκινά την εκτέλεση του PixPirate, το οποίο στη συνέχεια αποκρύπτει την παρουσία του ακόμη και αν το πρόγραμμα λήψης αφαιρεθεί από τη συσκευή.
Στη Λατινική Αμερική, ειδικά στο Μεξικό, τα χρηματοπιστωτικά ιδρύματα ήρθαν αντιμέτωπα με μια νέα απειλή του κακόβουλου λογισμικού Fakext. Το Fakext εκμεταλλεύεται το Microsoft Edge με το όνομα SATiD για να πραγματοποιήσει επιθέσεις man-in-the-browser, με σκοπό να κλέψει διαπιστευτήρια από στοχευμένες τράπεζες. Συχνά παριστάνει τη νόμιμη υποστήριξη πληροφορικής, ωθώντας τα θύματα να κατεβάσουν ένα εργαλείο απομακρυσμένης πρόσβασης, με σκοπό τη διεξαγωγή οικονομικής απάτης.
Η εν λόγω εκστρατεία, η οποία είναι εν ενεργεία από τον Νοέμβριο του 2023, έχει στοχεύσει 14 τράπεζες στην περιοχή, πυροδοτώντας άμεσες αντιδράσεις για την κατάργηση από την κακόβουλη επέκταση από το κατάστημα πρόσθετων Edge.
