Nueva Técnica de Evasión del Troyano Bancario PixPirate para Android Ataca a Usuarios Brasileños

13 de marzo de 2024 –  Fraude Financiero / Seguridad Móvil

EL TROYANO BANCARIO PARA ANDROID PIXPIRATE UTILIZA UNA NUEVA TÁCTICA DE EVASIÓN PARA ATACAR A USUARIOS BRASILEÑOS

Los actores de amenazas detrás del troyano bancario para Android PixPirate están aprovechando un nuevo truco para evadir la detección en dispositivos comprometidos y recopilar información sensible de usuarios en Brasil.

El enfoque les permite ocultar el ícono de la aplicación maliciosa de la pantalla de inicio del dispositivo de la víctima, según informó IBM en un informe técnico publicado hoy.

«Gracias a esta nueva técnica, durante las fases de reconocimiento y ataque de PixPirate, la víctima permanece ajena a las operaciones maliciosas que realiza este malware en segundo plano», dijo el investigador de seguridad Nir Somech.

PixPirate, que fue documentado por primera vez por Cleafy en febrero de 2023, es conocido por abusar de los servicios de accesibilidad de Android para realizar transferencias de fondos no autorizadas de forma encubierta utilizando la plataforma de pago instantáneo PIX cuando se abre una aplicación bancaria objetivo.

El malware en constante mutación también es capaz de robar las credenciales bancarias en línea de las víctimas y la información de la tarjeta de crédito, así como capturar pulsaciones de teclas e interceptar mensajes de texto para acceder a códigos de autenticación de dos factores.

Ciberseguridad Normalmente distribuido a través de SMS y WhatsApp, el flujo del ataque implica el uso de una aplicación de descarga (también conocida como downloader) que está diseñada para implementar la carga principal (también conocida como droppee) para llevar a cabo el fraude financiero.

«Por lo general, el descargador se utiliza para descargar e instalar el droppee, y a partir de este momento, el droppee es el actor principal que realiza todas las operaciones fraudulentas y el descargador no es relevante», explicó Somech.

«En el caso de PixPirate, el descargador es responsable no solo de descargar e instalar el droppee, sino también de ejecutarlo. El descargador juega un papel activo en las actividades maliciosas del droppee, ya que se comunican entre sí y envían comandos para ejecutarse».

La aplicación APK del descargador, una vez iniciada, insta a la víctima a actualizar la aplicación para recuperar el componente PixPirate de un servidor controlado por el actor o instalarlo si está incrustado en sí misma.

Troyano bancario para Android Lo que ha cambiado en la última versión del droppee es la ausencia de actividad con la acción «android.intent.action.Main» y la categoría «android.intent.category.LAUNCHER» que permite a un usuario lanzar una aplicación desde la pantalla de inicio tocando su ícono.

En otras palabras, la cadena de infección requiere que tanto el descargador como el droppee trabajen en conjunto, siendo el primero responsable de ejecutar el APK PixPirate vinculándose a un servicio exportado por el droppee.

«Más tarde, para mantener la persistencia, el droppee también se activa para ejecutarse mediante los diferentes receptores que registró», dijo Somech. «Los receptores están configurados para activarse en función de diferentes eventos que ocurren en el sistema y no necesariamente por el descargador que inicialmente activó el droppee para ejecutarse».

«Esta técnica permite que el droppee de PixPirate se ejecute y oculte su existencia incluso si la víctima elimina el descargador PixPirate de su dispositivo».

Ciberseguridad Este desarrollo se produce en un momento en que los bancos de América Latina (LATAM) se han convertido en el objetivo de un nuevo malware llamado Fakext, que utiliza una extensión falsa de Microsoft Edge llamada SATiD para llevar a cabo ataques de hombre en el navegador e inyecciones web con el objetivo de obtener credenciales introducidas en el sitio bancario objetivo.

Cabe destacar que SAT ID es un servicio ofrecido por el Servicio de Administración Tributaria (SAT) de México para generar y actualizar firmas electrónicas para presentar impuestos en línea.

En casos seleccionados, Fakext está diseñado para mostrar una superposición que insta a la víctima a descargar una herramienta de acceso remoto legítima haciéndose pasar por el equipo de soporte informático del banco, lo que permite a los actores de amenazas llevar a cabo fraudes financieros.

La campaña, activa desde al menos noviembre de 2023, se centra en 14 bancos que operan en la región, la mayoría de los cuales se encuentran en México. La extensión ha sido retirada de la tienda de complementos de Edge.