La dernière version du cheval de Troie bancaire PixPirate pour Android utilise une nouvelle méthode pour se cacher sur les téléphones tout en restant active, même si son application compte-gouttes a été supprimée.

PixPirate est un nouveau malware Android documenté pour la première fois par l’équipe Cleafy TIR le mois dernier, vu cibler les banques latino-américaines.

Bien que Cleafy ait noté qu’une application de téléchargement distincte lance le logiciel malveillant, le rapport n’a pas approfondi ses mécanismes innovants de dissimulation ou de persistance, ou ceux-ci n’ont été introduits que récemment.

Icônes utilisées par les applications dropper

Un nouveau rapport d’IBM explique que contrairement à la tactique standard des logiciels malveillants tentant de masquer son icône, ce qui est possible sur les versions Android jusqu’à 9, PixPirate n’utilise pas d’icône de lanceur. Cela permet au malware de rester masqué sur toutes les versions récentes d’Android jusqu’à la version 14.

Cependant, ne pas utiliser d’icône du tout crée le problème pratique de ne pas donner à la victime un moyen de lancer le logiciel malveillant.

Les chercheurs d’IBM Trusteer expliquent que les nouvelles versions de PixPirate utilisent deux applications différentes qui fonctionnent ensemble pour voler des informations sur les appareils.

La première application est connue sous le nom de « téléchargeur » et est distribuée via des APK (Fichiers de package Android) qui se propagent via des messages de phishing envoyés sur WhatsApp ou SMS.

Cette application de téléchargement demande l’accès à des autorisations risquées lors de l’installation, y compris des services d’accessibilité, puis procède au téléchargement et à l’installation de la deuxième application (nommée « droppee »), qui est le malware bancaire crypté PixPirate.

L’application ‘droppee’ ne déclare pas d’activité principale avec « android.intention.action.PRINCIPAL  » et  » android.intention.catégorie.LANCEUR  » dans son manifeste, donc aucune icône n’apparaît sur l’écran d’accueil, le rendant complètement invisible.

Au lieu de cela, l’application droppee exporte un service auquel d’autres applications peuvent se connecter, auquel le téléchargeur se connecte lorsqu’il souhaite déclencher le lancement du logiciel malveillant PixPirate.

Outre l’application dropper qui peut lancer et contrôler le logiciel malveillant, ces déclencheurs peuvent être le démarrage de l’appareil, des modifications de connectivité ou d’autres événements système que PixPirate écoute, ce qui lui permet de s’exécuter en arrière-plan.

Déclaration de service (en haut) et liaison d’événement (en bas)

« Le droppee a un service appelé » com.compagnon.rendez-vous.sepherd  » exporté et contient un filtre d’intention avec l’action personnalisée ‘com.billet.scène.Le service. », explique les analystes d’IBM.

« Lorsque le téléchargeur souhaite exécuter le droppee, il crée et se lie à ce service droppee à l’aide de l’API « BindService » avec l’indicateur « BIND_AUTO_CREATE » qui crée et exécute le service droppee. »

« Après la création et la liaison du service droppee, l’APK droppee est lancé et commence à fonctionner. »

Même si la victime supprime l’application de téléchargement de l’appareil, PixPirate peut continuer à se lancer en fonction de différents événements de l’appareil et cacher son existence à l’utilisateur.

Transferts d’argent cachés
Le logiciel malveillant cible la plateforme brésilienne de paiement instantané Pix, tentant de détourner des fonds vers des attaquants en interceptant ou en initiant des transactions frauduleuses.

IBM affirme que Pix est très populaire au Brésil, où plus de 140 millions de personnes l’utilisent pour effectuer des transactions qui ont dépassé 250 milliards de dollars en mars 2023.

Les capacités RAT de PixPirate lui permettent d’automatiser l’ensemble du processus de fraude, de la capture des informations d’identification des utilisateurs et des codes d’authentification à deux facteurs à l’exécution de transferts d’argent Pix non autorisés, le tout en arrière-plan à l’insu des utilisateurs. Cependant, des autorisations de service d’accessibilité sont requises pour cela.

Il existe également un mécanisme de contrôle manuel de secours lorsque les méthodes automatisées échouent, offrant aux attaquants un autre canal pour effectuer une fraude sur l’appareil.

Le rapport de Cleafy du mois dernier a également mis en évidence l’utilisation de la publicité malveillante par notification push et la capacité du logiciel malveillant à désactiver Google Play Protect, l’une des principales fonctionnalités de sécurité d’Android.

Bien que la méthode d’infection de PixPirate ne soit pas nouvelle et puisse être facilement corrigée en évitant les téléchargements d’APK, ne pas utiliser d’icône et enregistrer des services liés aux événements système est une nouvelle stratégie alarmante.

Breachtrace a contacté Google pour savoir s’il envisageait d’introduire des mesures bloquant cette tactique, et nous mettrons à jour ce message dès que nous aurons de ses nouvelles.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *