PixPirate – новый банковский троян для Android, использующий опасную функцию

Новый банковский троян для Android нацелился на бразильские финансовые учреждения для совершения мошенничества с использованием платежной платформы Pix. Итальянская компания по кибербезопасности Cleafy, которая обнаружила вредоносное ПО в конце прошлого года, отслеживает его под именем PixPirate.

«PixPirate принадлежит к новейшему поколению банковских троянов для Android, поскольку он может выполнять функции системы автоматического перевода (ATS). Эта функция позволяет злоумышленникам автоматизировать процесс вредоносных денежных переводов через платформу мгновенных платежей Pix, активно используемую несколькими бразильскими банками», — заявили исследователи Cleafy.

PixPirate дополняет длинный список вредоносных программ в сфере Android-банкинга. Все они используют уязвимости API специальных возможностей операционной системы для выполнения своих вредоносный действий, включая отключение Google Play Protect, перехват SMS-сообщений, предотвращение собственного удаления, показ мошеннической рекламы через push-уведомления и т.д.

Помимо кражи паролей, введенных пользователями в банковских приложениях, злоумышленники, стоящие за операцией, используют обфускацию и шифрование кода с помощью платформы Auto.js, чтобы противостоять усилиям специалистов по обратной разработке (реверс-инжиниринг) и раскрытию исходного кода.

Вредоносное приложение-аутентификатор, необходимое для доставки вредоноса на устройство

Приложения-дропперы, используемые для доставки PixPirate, скрываются под видом приложений-аутентификаторов, распространяемых, как правило, через apk-файлы на фишинговых сайтах. На данный момент никаких подтверждений того, что эти приложения были опубликованы в официальном магазине Google Play.

Исследователи Cleafy выражают свои опасения по поводу появления в ближайшее время более сложных вредоносных программ, также использующих технологию ATS.