Cheval de Troie bancaire PixPirate
En février 2024, des chercheurs en cybersécurité ont mis en lumière l’existence d’un malware Android jusqu’alors inconnu, suivi sous le nom de PixPirate. Cette menace a été déployée dans des attaques ciblées contre des banques en Amérique latine. Actuellement, les experts préviennent qu'une itération mise à jour du cheval de Troie bancaire PixPirate a fait surface, comportant une nouvelle technique furtive lui permettant de persister sur les appareils même après la suppression de son application compte-gouttes.
Table des matières
PixPirate utilise deux applications différentes pour collecter des informations bancaires sur les téléphones Android des victimes
Les chercheurs ont noté une rupture significative avec la stratégie conventionnelle employée par les logiciels malveillants, notamment avec PixPirate. Contrairement aux logiciels malveillants classiques qui tentent de dissimuler leur icône, une tactique possible sur les versions Android jusqu'à 9, PixPirate n'utilise pas complètement d'icône de lanceur. Cette approche unique permet au malware de rester caché sur les systèmes Android récents, jusqu'à la version 14. Cependant, l'absence d'icône présente un autre défi : ne fournir aucun moyen aux victimes pour lancer le malware. Pour contourner ce problème, PixPirate utilise deux applications distinctes qui fonctionnent en tandem pour récolter des données sensibles sur les appareils infectés.
L'application initiale, appelée « téléchargeur », est diffusée sous forme d'APK (Android Package Files) et distribuée via des messages de phishing sur des plateformes comme WhatsApp ou SMS. Lors de l'installation, cette application de téléchargement demande l'accès aux autorisations à haut risque, y compris les services d'accessibilité. Par la suite, il procède à la récupération et à l'installation de la deuxième application, baptisée « droppee », qui est le malware bancaire crypté PixPirate.
L'application 'droppee' s'abstient de déclarer une activité principale avec 'android.intent.action.MAIN' et 'android.intent.category.LAUNCHER' dans son manifeste, assurant ainsi l'absence d'icône sur l'écran d'accueil, le rendant entièrement discret. Au lieu de cela, l'application droppee exporte un service auquel d'autres applications peuvent accéder. Le téléchargeur établit une connexion à ce service pour lancer le lancement du malware PixPirate selon les besoins.
Divers déclencheurs peuvent démarrer l’exécution du cheval de Troie bancaire PixPirate
En plus de la capacité de l'application dropper à lancer et à contrôler les logiciels malveillants, PixPirate peut également être déclenché par divers événements système, tels que le démarrage de l'appareil ou des modifications de connectivité, qu'il surveille activement. Cela permet à PixPirate d'opérer subrepticement en arrière-plan de l'appareil de la victime.
Le composant droppee de PixPirate propose un service nommé « com.companian.date.sepherd », qui est exporté et équipé d'un filtre d'intention utilisant l'action personnalisée « com.ticket.stage.Service ». Lorsque le téléchargeur a l'intention d'activer le droppee, il établit une connexion avec ce service en utilisant l'API « BindService » avec l'indicateur « BIND_AUTO_CREATE ». Cette action aboutit à la création et à l’exécution du service droppee.
Suite au processus de création et de liaison du service droppee, l'APK droppee est lancé et commence ses opérations. À ce stade, même si la victime supprime l'application de téléchargement de l'appareil, PixPirate peut continuer à fonctionner, déclenché par divers événements de l'appareil, tout en dissimulant efficacement sa présence à l'utilisateur.
PixPirate cible spécifiquement la plateforme de paiement Pix
Le malware cible spécifiquement la plateforme de paiement instantané Pix au Brésil, dans le but de siphonner des fonds aux attaquants en interceptant ou en initiant des transactions frauduleuses. Pix a gagné en popularité au Brésil, avec plus de 140 millions d'utilisateurs effectuant des transactions dépassant 250 milliards de dollars en mars 2023.
PixPirate exploite les capacités du cheval de Troie d'accès à distance (RAT) pour automatiser l'ensemble du processus frauduleux, depuis la capture des informations d'identification des utilisateurs et des codes d'authentification à deux facteurs jusqu'à l'exécution de transferts d'argent Pix non autorisés, le tout furtivement à l'insu de l'utilisateur. Cependant, la réalisation de ces tâches nécessite l'obtention des autorisations du service d'accessibilité.
De plus, PixPirate intègre un mécanisme de contrôle manuel de secours pour les cas où les méthodes automatisées échouent, offrant ainsi aux attaquants un moyen alternatif de procéder à une fraude sur l'appareil. Les chercheurs soulignent également l'utilisation par le logiciel malveillant de la publicité malveillante par notification push et sa capacité à désactiver Google Play Protect, une fonctionnalité de sécurité fondamentale de la plate-forme Android.
Même si la méthode d'infection utilisée par PixPirate n'est pas révolutionnaire et peut être atténuée en s'abstenant de télécharger des APK non autorisés, l'adoption de stratégies telles que l'absence d'icône et l'enregistrement de services liés aux événements du système représente une approche inquiétante et nouvelle.
