Zlonamjerni softver, nazvan PixPirate i koji je prvi uočio Cleafy ranije ove godine, sada se dodatno analizira od strane IBM-ovog istraživačkog tima
IBM-ov izvještaj detaljno opisuje podmukle taktike koje osiguravaju da “žrtva ostane nesvjesna zlonamjernih operacija koje PixPirate zlonamjerni softver izvodi u pozadini.”
Nazvan je PixPirate jer je ovaj prvi napad usmjeren na veoma popularnu platformu za plaćanje Pix — sa oko 140 miliona korisnika — u Brazilu, tržištu na kojem je Samsung daleko vodeći brend. Ipak, samo je trenutak vremena da se napad modifikuje kako bi ciljao i druge platforme u drugim zemljama, prenosi N1.
Zlonamjerni softver prati aktivnosti onlajn bankarstva korisnika, pronalazeći mogućnosti za krađu akreditiva za prijavljivanje za različite naloge, pa čak i presretanje dvofaktornih SMS kodova za autentifikaciju.
„PixPirate je sofisticirani trojanac za daljinski pristup finansijama“, objašnjava IBM, „koji u velikoj mjeri koristi anti-istraživačke tehnike“.
Ovo uključuje dropper (instalater aplikacija, haker) koji instalira jezgro malvera i zatim ga pokreće, ali softver nije vidljiv osobi (droppee) koja zapravo koristi uređaj.
Izvještaj kompanije IBM navodi različite radnje koje ova kombinacija dropper-a i droppee može izvršiti na zaraženom uređaju. To je i impresivna lista i poziv za buđenje koliko ova vrsta zlonamernog softvera može biti opasna, zbog niza kompromisa koji se mogu napraviti u pozadini.
Lista djelovanja zlonamjernog softvera:
- Manipulacija i upravljanje drugim aplikacijama
- Keylogging
- Prikupljanje popisa aplikacija instaliranih na uređaju
- Instaliranje i uklanjanje aplikacija sa zaraženog uređaja
- Zaključavanje i otključavanje ekrana uređaja
- Pristup registrovanim telefonskim računima
- Pristup popisu kontakata i pozivima u toku
- Tačno određivanje lokacije uređaja
- Anti-virtualni stroj (VM) i anti-debug mogućnosti
- Postojanost nakon ponovnog pokretanja
- Širenje putem WhatsApp-a
- Čitanje, uređivanje i brisanje SMS poruka
- Anti-uklanjanje i onemogućavanje Google Play Protect-a
Google je rekao da nijedan od ovih zlonamjernih programa trenutno nije prisutan u njegovoj zvaničnoj Play prodavnici, zbog čega je Apple tako javno upozorio da Evropa primorava da otvori prodavnice trećih strana „nosi veće rizike za korisnike i programere. To uključuje nove puteve za malver, prevare, nezakonit i štetan sadržaj i druge pretnje privatnosti i bezbjednosti. Ove promjene takođe ugrožavaju Apple-ovu sposobnost da otkrije, spriječi i preduzme mjere protiv zlonamjernih aplikacija na iOS-u i da podrži korisnike pogođene problemima sa aplikacijama preuzetim izvan App Store-a.
Kao i kod mnogih takvih napada, počinje sa vezom ili hipervezom poslatom putem SMS-a ili WhatsApp-a, u suštini koristeći društveni inženjering da prevari korisnike da pristanu na instalaciju. Ovo dovodi dropper na uređaj, koji zatim preuzima, instalira i pokreće osnovni APK samog malvera.
