Zlonamjerni softver, nazvan PixPirate i koji je prvi uočio Cleafy ranije ove godine, sada se dodatno analizira od strane IBM-ovog istraživačkog tima

 

IBM-ov izvještaj detaljno opisuje podmukle taktike koje osiguravaju da “žrtva ostane nesvjesna zlonamjernih operacija koje PixPirate zlonamjerni softver izvodi u pozadini.”

Pročitajte još: Oprez! Malver Agent Tesla se skriva u lažnim mejlovima sa sajta booking.com

Nazvan je PixPirate jer je ovaj prvi napad usmjeren na veoma popularnu platformu za plaćanje Pix — sa oko 140 miliona korisnika — u Brazilu, tržištu na kojem je Samsung daleko vodeći brend. Ipak, samo je trenutak vremena da se napad modifikuje kako bi ciljao i druge platforme u drugim zemljama, prenosi N1.

Zlonamjerni softver prati aktivnosti onlajn bankarstva korisnika, pronalazeći mogućnosti za krađu akreditiva za prijavljivanje za različite naloge, pa čak i presretanje dvofaktornih SMS kodova za autentifikaciju.

„PixPirate je sofisticirani trojanac za daljinski pristup finansijama“, objašnjava IBM, „koji u velikoj mjeri koristi anti-istraživačke tehnike“.

Ovo uključuje dropper (instalater aplikacija, haker) koji instalira jezgro malvera i zatim ga pokreće, ali softver nije vidljiv osobi (droppee) koja zapravo koristi uređaj.

Izvještaj kompanije IBM navodi različite radnje koje ova kombinacija dropper-a i droppee može izvršiti na zaraženom uređaju. To je i impresivna lista i poziv za buđenje koliko ova vrsta zlonamernog softvera može biti opasna, zbog niza kompromisa koji se mogu napraviti u pozadini.

Lista djelovanja zlonamjernog softvera:

  • Manipulacija i upravljanje drugim aplikacijama
  • Keylogging
  • Prikupljanje popisa aplikacija instaliranih na uređaju
  • Instaliranje i uklanjanje aplikacija sa zaraženog uređaja
  • Zaključavanje i otključavanje ekrana uređaja
  • Pristup registrovanim telefonskim računima
  • Pristup popisu kontakata i pozivima u toku
  • Tačno određivanje lokacije uređaja
  • Anti-virtualni stroj (VM) i anti-debug mogućnosti
  • Postojanost nakon ponovnog pokretanja
  • Širenje putem WhatsApp-a
  • Čitanje, uređivanje i brisanje SMS poruka
  • Anti-uklanjanje i onemogućavanje Google Play Protect-a

Google je rekao da nijedan od ovih zlonamjernih programa trenutno nije prisutan u njegovoj zvaničnoj Play prodavnici, zbog čega je Apple tako javno upozorio da Evropa primorava da otvori prodavnice trećih strana „nosi veće rizike za korisnike i programere. To uključuje nove puteve za malver, prevare, nezakonit i štetan sadržaj i druge pretnje privatnosti i bezbjednosti. Ove promjene takođe ugrožavaju Apple-ovu sposobnost da otkrije, spriječi i preduzme mjere protiv zlonamjernih aplikacija na iOS-u i da podrži korisnike pogođene problemima sa aplikacijama preuzetim izvan App Store-a.

Kao i kod mnogih takvih napada, počinje sa vezom ili hipervezom poslatom putem SMS-a ili WhatsApp-a, u suštini koristeći društveni inženjering da prevari korisnike da pristanu na instalaciju. Ovo dovodi dropper na uređaj, koji zatim preuzima, instalira i pokreće osnovni APK samog malvera.