В период с конца 2022 года по начало 2023 года командой Cleafy TIR был обнаружен новый банковский троян для Android. Из-за недостатка информации и отсутствия надлежащей номенклатуры этого семейства вредоносных программ Cleafy решили назвать его PixPirate.
PixPirate принадлежит к новейшему поколению банковских троянов для Android, поскольку он может выполнять ATS (Automatic Transfer System), позволяя злоумышленникам автоматизировать вставку вредоносного денежного перевода через платформу мгновенных платежей Pix, принятую многими бразильскими банками.
PixPirate обладает следующими возможностями, достигаемыми в основном за счет злоупотребления услугами доступности, такими как:
- Возможность перехвата действительных банковских учетных данных и проведения атак САР на несколько бразильских банков через платежи Pix
- Возможность перехвата/удаления SMS-сообщений
- Предотвращение деинсталляции
- Малвертайзинг
PixPirate представляет собой одну из новых вредоносных программ, которые попытаются использовать механизм двойного лезвия, связанный с мгновенными платежами.
Внедрение возможностей САР в сочетании с фреймворками, которые помогут разрабатывать мобильные приложения, используя гибкие и более распространенные языки (снижая кривую обучения и время разработки), может привести к появлению более сложных вредоносных программ, которые в будущем можно будет сравнить с их аналогами для рабочих станций. Кроме того, было замечено, что PixPirate нацелен на платформу мгновенных платежей Pix, используемую несколькими бразильскими банками.
Хотя PixPirate, по-видимому, все еще находится на ранних стадиях разработки, поскольку наблюдаемые IOC (например, журналы, отправленные в C2, комментарии в коде и больше вариантов с очень небольшими различиями), нельзя исключать, что в будущем появится еще больше угроз, которые последуют примеру PixPirate, нацелившись на другие страны LATAM или даже переместив свой взгляд на другие регионы.
Indicators of Compromise
Domains
- down883.oss-us-east-1.aliyuncs.com
URls
- https://apendgo.com/api/
- https://applebalanyou.com/api
MD5
- 0b7a66004793b4b976be4e5e21ceeb03
- ccc18f54f77f5b1295f3b4cc3509cb3b