PixPirate Trojan IOCs

remote access Trojan IOC
Опубликовано

PixPirate - это сложный банковский троян удаленного доступа (RAT), в котором активно используются методы анти-исследования. Вектор заражения этой вредоносной программы основан на двух вредоносных приложениях: загрузчике и дроппинге. Работая вместе, эти два приложения взаимодействуют друг с другом для осуществления мошенничества. На данный момент исследователи IBM Trusteer обнаружили, что эта вредоносная программа атакует банки в Бразилии.

PixPirate

Большинство банковских вредоносных программ скрывают свое существование на мобильном устройстве, пряча от жертвы значок пусковой установки с помощью интерфейса прикладного программирования (API) SetComponentEnabeldSetting. Однако, начиная с Android 10, эта техника больше не работает из-за новых ограничений, введенных Google.

Чтобы решить эту новую проблему, PixPirate применил новую технику скрытия своего значка, которую мы никогда раньше не видели в финансовых вредоносных программах. Благодаря этой новой технике на этапах разведки и атаки PixPirate жертва остается в неведении о вредоносных операциях, которые вредоносная программа выполняет в фоновом режиме.

PixPirate использует сервис доступа, чтобы получить возможности RAT, следить за действиями жертвы и похитить ее учетные данные онлайн-банкинга, данные кредитных карт и логины всех целевых учетных записей. Если для завершения мошеннической операции требуется двухфакторная аутентификация (2FA), вредоносная программа также может получить доступ, отредактировать и удалить SMS-сообщения жертвы, включая все сообщения, отправленные банком.

PixPirate использует современные возможности и представляет серьезную угрозу для своих жертв. Вот краткий список основных вредоносных возможностей PixPirate:

  • Манипулирование и контроль над другими приложениями
  • Перехват клавиатуры .
  • Сбор списка приложений, установленных на устройстве
  • Установка и удаление приложений с зараженного устройства
  • Блокировка и разблокировка экрана устройства
  • Доступ к зарегистрированным учетным записям телефона
  • Доступ к списку контактов и текущим вызовам
  • Определение местоположения устройства
  • Антивиртуальная машина (VM) и антиотладочные функции
  • Сохранение после перезагрузки
  • Распространение через WhatsApp
  • Чтение, редактирование и удаление SMS-сообщений
  • Антиудаление и отключение Google Play Protect

Благодаря возможностям RAT, PixPirate может осуществлять мошенничество на устройстве (ODF) и совершать его с устройства жертвы, чтобы избежать обнаружения системами безопасности и обнаружения мошенничества банка.
Поток заражения PixPirate

Большинство финансовых вредоносных программ состоит из одного основного файла пакета для Android (APK). Это не относится к PixPirate, который состоит из двух компонентов: APK-загрузчика и APK-дроппера. Использование приложения-загрузчика в финансовых атаках не является чем-то новым, однако, в отличие от большинства современных финансовых вредоносных программ, использующих загрузчик в качестве сервиса, и загрузчик, и загрузчик для PixPirate были созданы одним и тем же агентом.

Кроме того, роль загрузчика PixPirate в потоке заражения отличается от других финансовых вредоносных программ. Обычно загрузчик используется для загрузки и установки дропа, и с этого момента основным действующим лицом, осуществляющим все мошеннические операции, является дроппи, а загрузчик не имеет никакого значения. В случае с PixPirate загрузчик отвечает не только за загрузку и установку дропшипа, но и за его запуск и выполнение. Загрузчик принимает активное участие во вредоносной деятельности дропшипа, поскольку они общаются друг с другом и отправляют команды на выполнение.

Обычно жертвы заражаются PixPirate, загружая загрузчик PixPirate по вредоносной ссылке, присланной им через WhatsApp или SMS-сообщение фишинга (smishing). Это сообщение убеждает жертву загрузить загрузчик, который выдает себя за легитимное приложение для аутентификации, связанное с банком. После того как жертва запустит загрузчик, он попросит ее установить обновленную версию самого себя, которая на самом деле является вредоносной программой PixPirate (дроппером). После того как жертва соглашается на обновление, загрузчик либо устанавливает дропшип, встроенный в APK, либо загружает его непосредственно с командно-контрольного (C2) сервера PixPirate. Если дропшип встроен в APK-файл загрузчика, он шифруется и помещается в папку "/assets/" загрузчика, маскируясь под jpeg-файл, чтобы снизить подозрительность.

Затем загрузчик отправляет дропшипу PixPirate команду на активацию и выполнение. При первом запуске дроппи предлагает жертве разрешить запуск своей службы доступности. На следующем этапе PixPirate использует службу доступности для предоставления себе всех необходимых разрешений для запуска и успешного осуществления финансовых махинаций.

После того как вредоносная программа получает все необходимые разрешения для работы, она собирает информацию и данные о зараженном устройстве, чтобы решить, является ли оно легитимным и подходящим для мошенничества (антивирус/антиэмулятор, какие банковские приложения установлены на устройстве и т. д.), а затем отправляет все эти данные в PixPirate C2.

Функции PixPirate

Основной функцией, отвечающей за мошенничество, является "strictPay_js.action.transfer", которая автоматически выполняет мошенничество. Сначала она вызывает SendPageNode(1) с аргументом "1". Эта функция переходит на страницу Pix в банковском приложении. Следующая функция - sendBalance(), которая состоит из трех подфункций:

inputPix(): Вводит реквизиты Pix для выполнения денежного перевода Pix
continue2Password(): Вредоносная программа вводит украденные учетные данные жертвы
waitUntilPassword(): Дожидается завершения денежного перевода Pix и проверяет, что он был успешно выполнен.

Та же техника используется PixPirate для второй Pix-атаки - перехвата операций жертвы и изменения реквизитов Pix при переводе денег без ведома жертвы. PixPirate может манипулировать как целевым счетом, так и суммой Pix-транзакции.

Если 2FA является частью банковского потока, вредоносная программа также может перехватывать SMS-сообщения, которые пользователь получает от банка.
Возможности автоматического мошенничества

Мошенничество с помощью PixPirate происходит автоматически, поскольку вредоносная программа содержит код для всех различных действий, необходимых для совершения Pix-мошенничества: вход в систему, ввод данных Pix, ввод учетных данных, подтверждение и многое другое. PixPirate - это не только автоматизированный инструмент атаки, но и способный стать инструментом атаки с ручным дистанционным управлением. Вероятно, эта возможность реализована для совершения мошенничества вручную, если автоматические потоки мошенничества не срабатывают из-за изменения пользовательского интерфейса банковского приложения или появления новой выгодной цели.

Ручное мошенничество начинается с появления на устройстве жертвы оверлейного экрана и отключения пользовательского управления на зараженном устройстве, чтобы скрыть действия мошенника в фоновом режиме. Далее вредоносная программа подключается к C2 и получает от мошенника команды для выполнения. Благодаря возможности удаленного управления мошенник получает контроль над устройством жертвы, включая доступ к частной информации и манипуляции с приложениями на устройстве жертвы.

Indicators of Compromise

SHA256

  • 019a5c8c724e490df29020c1854c5b015413c9f39af640f7b34190fd4c989e81
  • 9360f2ee1db89f9bac13f8de427a7b89c24919361dcd004c40c95859c8ce6a79
Похожие записи:
  1. PixPirate Trojan
  2. BitRAT Trojan IOC
  3. Emotet Trojan IOC
  4. ZLoader Trojan IOC
  5. IcedID (BankBot) Trojan IOCs
IBM Security X-Force PixPirate trojan
Добавить комментарий