PixPirate バンキング型トロイの木馬
2024 年 2 月、サイバーセキュリティ研究者は、PixPirate として追跡される、これまで知られていなかった Android マルウェアの存在を明らかにしました。この脅威は、ラテンアメリカの銀行に対する標的型攻撃に導入されています。現在、専門家らは、PixPirate バンキング トロイの木馬の更新版が表面化しており、ドロッパー アプリケーションが削除された後もデバイス上で存続できるようにする新しいステルス技術を備えていると警告しています。
目次
PixPirate は 2 つの異なるアプリケーションを利用して被害者の Android スマートフォンから銀行情報を収集
研究者らは、マルウェア、特に PixPirate が採用する従来の戦略からの大幅な逸脱に注目しています。アイコンを隠そうとする典型的なマルウェアとは異なり、Android バージョン 9 までで可能な戦術ですが、PixPirate はランチャー アイコンをまったく使用しません。この独自のアプローチにより、バージョン 14 までの最新の Android システム上でマルウェアを隠し続けることができます。ただし、アイコンがないことにより、被害者がマルウェアを開始する手段が提供されないという別の課題が生じます。この問題を回避するために、PixPirate は、感染したデバイスから機密データを収集するために連携して動作する 2 つの異なるアプリケーションを採用しています。
「ダウンローダー」と呼ばれる最初のアプリケーションは、APK (Android パッケージ ファイル) として拡散され、WhatsApp や SMS などのプラットフォーム上のフィッシング メッセージを介して配布されます。このダウンローダー アプリケーションは、インストール時に、アクセシビリティ サービスなどの高リスクのアクセス許可へのアクセスを要求します。続いて、暗号化された PixPirate バンキング マルウェアである「droppee」と呼ばれる 2 番目のアプリケーションを取得してインストールします。
「droppee」アプリケーションは、マニフェストで「android.intent.action.MAIN」と「android.intent.category.LAUNCHER」を使用してプライマリ アクティビティを宣言することを控えます。これにより、ホーム画面にアイコンが存在せず、完全にレンダリングされます。目立たない。代わりに、droppee アプリケーションは、他のアプリケーションがアクセスできるサービスをエクスポートします。ダウンローダーはこのサービスへの接続を確立し、必要に応じて PixPirate マルウェアの起動を開始します。
さまざまなトリガーにより、バンキング型トロイの木馬 PixPirate の実行が開始される可能性があります
マルウェアを開始および制御するドロッパー アプリケーションの機能に加えて、PixPirate はデバイスの起動や接続の変化などのさまざまなシステム イベントによってトリガーされることもあり、これらのイベントをアクティブに監視します。これにより、PixPirate が被害者のデバイスのバックグラウンドで密かに動作できるようになります。
PixPirate の Droppee コンポーネントには、「com.companian.date.sepherd」という名前のサービスがあり、エクスポートされ、カスタム アクション「com.ticket.stage.Service」を利用するインテント フィルターが装備されています。ダウンローダーは、droppee をアクティブ化する場合、「BindService」 API と「BIND_AUTO_CREATE」フラグを利用して、このサービスとの接続を確立します。このアクションにより、droppee サービスが作成および実行されます。
Droppee サービスの作成とバインドのプロセスに続いて、droppee APK が起動され、動作が開始されます。この時点で、被害者がダウンローダー アプリケーションをデバイスから削除したとしても、PixPirate はその存在をユーザーから効果的に隠しながら、さまざまなデバイス イベントによってトリガーされて動作を維持し続けることができます。
PixPirate は特に Pix 決済プラットフォームをターゲットにしています
このマルウェアは特にブラジルの Pix インスタント決済プラットフォームをターゲットにしており、不正取引を傍受または開始することで攻撃者に資金を吸い上げることを目的としています。 Pix はブラジルで大きな人気を集めており、2023 年 3 月時点で 1 億 4,000 万人を超えるユーザーが 2,500 億ドルを超える取引を行っています。
PixPirate は、リモート アクセス トロイの木馬 (RAT) 機能を利用して、ユーザーの資格情報や 2 要素認証コードの取得から、不正な Pix 送金の実行に至るまで、不正プロセス全体をユーザーに気づかれずにこっそり自動化します。ただし、これらのタスクを実行するには、アクセシビリティ サービスのアクセス許可を取得する必要があります。
さらに、PixPirate には、自動化された手法が失敗した場合に備えてフォールバック手動制御メカニズムが組み込まれており、攻撃者にオンデバイス詐欺を実行するための代替手段を提供します。研究者らはまた、このマルウェアがプッシュ通知マルバタイジングを利用していることや、Android プラットフォームの基本的なセキュリティ機能である Google Play プロテクトを無効にする機能についても強調しています。
PixPirate が採用した感染方法は画期的なものではなく、不正な APK のダウンロードを控えることで軽減できますが、アイコンの不在やシステム イベントに関連付けられたサービスの登録などの戦略の採用は、憂慮すべき斬新なアプローチを表しています。
