Η πιο πρόσφατη έκδοση του PixPirate malware για το Android, χρησιμοποιεί μία νέα μέθοδο για να κρύβεται στα τηλέφωνα παραμένοντας ενεργό, ακόμη κι αν η εφαρμογή που το μεταφέρει έχει διαγραφεί.
Δείτε επίσης: FjordPhantom: Το Android malware χρησιμοποιεί εικονικοποίηση για να αποφύγει την ανίχνευση
Το PixPirate είναι ένα νέο Android malware, που καταγράφηκε για πρώτη φορά από την ομάδα TIR της Cleafy τον προηγούμενο μήνα, καθώς παρατηρήθηκε να στοχεύει τράπεζες στη Λατινική Αμερική. Αν και η Cleafy παρατήρησε ότι μια ξεχωριστή εφαρμογή λήψης εκτελεί το malware, η έκθεσή της δεν εξετάζει τους καινοτόμους μηχανισμούς απόκρυψης ή διατήρησης του, ή εάν αυτοί εισήχθησαν πρόσφατα.
Μια νέα έκθεση της IBM εξηγεί ότι, αντίθετα με την τυπική τακτική των malware που προσπαθούν να κρύψουν το εικονίδιό τους, που είναι δυνατό στις εκδόσεις Android μέχρι και την 9, το PixPirate δεν χρησιμοποιεί εικονίδιο εκκίνησης. Αυτό επιτρέπει στο κακόβουλο λογισμικό να παραμένει κρυμμένο σε όλες τις πρόσφατες εκδόσεις Android έως την έκδοση 14.
Οι ερευνητές της IBM Trusteer εξηγούν ότι οι νέες εκδόσεις του PixPirate χρησιμοποιούν δύο διαφορετικές εφαρμογές που συνεργάζονται για να κλέψουν πληροφορίες από συσκευές.
Η πρώτη εφαρμογή είναι γνωστή ως “downloader” και διανέμεται μέσω των APKs (Android Package Files) που διαδίδονται μέσω μηνυμάτων phishing που στέλνονται στο WhatsApp ή μέσω SMS.
Αυτή η εφαρμογή λήψης ζητά πρόσβαση σε επικίνδυνες άδειες κατά την εγκατάσταση, συμπεριλαμβανομένων των Υπηρεσιών Προσβασιμότητας, και στη συνέχεια προχωρά στη λήψη και εγκατάσταση της δεύτερης εφαρμογής (με την ονομασία ‘droppee‘), η οποία είναι το κρυπτογραφημένο Android malware PixPirate.
Δείτε ακόμα: Chameleon Android malware: Μιμείται τραπεζικά και crypto apps
Η εφαρμογή ‘droppee’ δεν δηλώνει μια κύρια δραστηριότητα με “android.intent.action.MAIN” και “android.intent.category.LAUNCHER“, με αποτέλεσμα να μην εμφανίζεται εικονίδιο στην αρχική οθόνη, καθιστώντας την εντελώς αόρατη.
Αντ’ αυτού, η εφαρμογή droppee εξάγει μια υπηρεσία στην οποία μπορούν να συνδεθούν άλλες εφαρμογές και στην οποία συνδέεται ο downloader όταν επιθυμεί να ενεργοποιήσει την εκκίνηση του κακόβουλου λογισμικού PixPirate.
Εκτός από την εφαρμογή dropper που μπορεί να εκκινήσει και να ελέγξει το Android malware, αυτοί οι ενεργοποιητές θα μπορούσαν να είναι η εκκίνηση της συσκευής, αλλαγές στη συνδεσιμότητα ή άλλα συστημικά γεγονότα που το PixPirate malware παρακολουθεί, επιτρέποντας του να εκτελείται στο παρασκήνιο.
Ακόμη κι αν το θύμα αφαιρέσει την εφαρμογή λήψης από τη συσκευή, το PixPirate μπορεί να συνεχίσει να εκκινείται βασιζόμενο σε διάφορα γεγονότα της συσκευής και να κρύβει την ύπαρξή του από τον χρήστη.
Δείτε επίσης: Στο Google Play εντοπίστηκε το νέο Fleckpe Android malware
Για να προστατεύσετε το ψηφιακό σας περιβάλλον από Android malware, όπως το PixPirate, πρώτον, εγκαταστήστε ένα αξιόπιστο πρόγραμμα antimalware. Αυτό θα σας βοηθήσει να ανιχνεύσετε και να απομακρύνετε τυχόν κακόβουλο λογισμικό που ενδέχεται να έχει εισέλθει στο σύστημά σας. Δεύτερον, πραγματοποιήστε τακτικές ενημερώσεις του λειτουργικού σας συστήματος και των εφαρμογών σας. Τρίτον, αποφύγετε το κατέβασμα αρχείων από αναξιόπιστες πηγές. Τέλος, χρησιμοποιήστε ένα δίκτυο εικονικής ιδιωτικής σύνδεσης (VPN) για να προστατεύσετε τα δεδομένα σας. Ένα VPN μπορεί να κρύψει την πραγματική σας διεύθυνση IP και να κρυπτογραφήσει τα δεδομένα σας, δυσκολεύοντας την εργασία των κακόβουλων λογισμικών.
Πηγή: bleepingcomputer
