Unbox.id – Malware Android baru yang menargetkan perusahaan perbankan, PixPirate, dikatakan memiliki metode baru untuk tetap tersembunyi di ponsel atau ponsel sambil tetap aktif, bahkan ketika aplikasinya rusak. PixPirate adalah malware Android yang pertama kali didokumentasikan oleh tim TIR Cleafy bulan lalu dan tampaknya menargetkan bank-bank di Amerika Latin. Meskipun Cleafy mencatat bahwa pengunduh terpisah meluncurkan malware tersebut, laporan tersebut tidak menyelidiki mekanisme penyembunyian atau persistensi malware tersebut. Laporan IBM menjelaskan bahwa tidak seperti taktik malware standar yang mencoba menyembunyikan ikonnya – yang mungkin dilakukan di Android hingga versi 9 – PixPirate tidak menggunakan ikon peluncur. “Hal ini memungkinkan malware untuk tetap tersembunyi di semua versi Android terbaru hingga versi 14,” kata IBM.
Peneliti IBM
PixPirate Malware Android. (Sumber: Tech Radar)
Tim peneliti IBM Trusteer menjelaskan versi baru malware PixPirate untuk Android yang menggunakan dua aplikasi berbeda yang bekerja sama untuk mencuri informasi dari perangkat.
Aplikasi pertama disebut “pengunduh » dan didistribusikan melalui APK (File Paket Android) menyebar melalui pesan phishing, dikirim melalui WhatsApp atau SMS.
Aplikasi pengunduhan ini memerlukan akses izin berisiko selama proses instalasi, termasuk layanan aksesibilitas. Kemudian dilanjutkan dengan mengunduh dan menginstal aplikasi kedua (disebut droppee), yang dienkripsi PixPirate malware perbankan.
Bagaimana Aplikasi Droppee Beraksi?
Aplikasi droppee yang tidak menampilkan aktivitas utama memiliki “android.intent.action.MAIN” dan “android.intent.category.LAUNCHER” di manifesnya sehingga tidak ada ikon yang muncul di layar utama dan sepenuhnya tersembunyi.
Sebaliknya, aplikasi Droppee mengekspor layanan yang dapat ditautkan ke aplikasi lain, untuk dihubungkan oleh pengunduh ketika dia ingin meluncurkan malware PixPirate.
Selain dapat meluncurkan menjalankan dan mengontrol malware aplikasi Dropper, pemicu ini dapat memproses permulaan perangkat, perubahan koneksi, atau peristiwa sistem lainnya yang terdeteksi oleh PixPirate, memungkinkan aplikasi ini berjalan di latar belakang ponsel Anda.
“Droppee memiliki layanan bernama “com.companian.date .sepherd” yang diekspor dan menyertakan filter maksud dengan tindakan kustom ‘com.ticket.stage.Service.'” jelas analis IBM.
“Saat pengunggah ingin menjalankan droppee, pengunggah akan membuat dan mengikat layanan droppee ini menggunakan API “BindService” dengan tanda “BIND_AUTO_CREATE”. membuat dan menjalankan layanan droppee. Setelah membuat dan mengikat layanan droppee, APK droppee akan diluncurkan dan mulai bekerja “, analis menjelaskan.
Bahkan jika korban menghapus aplikasi yang diunduh dari perangkat, PixPirate dapat terus bertindak di perangkat yang berbeda dan menyembunyikan keberadaannya.
Baca juga: Cara Pulihkan Data Yang Hilang Usai Reset HP Android
Transfer Uang Tersembunyi
PixPirate Malware Android. (Sumber: Security Brief)
Malware ini menargetkan platform pembayaran instan bernama Pix di Brasil, mencoba mentransfer dana ke penyerang dengan memblokir atau melakukan transaksi penipuan.
IBM mengatakan Pix populer di Brasil, di mana lebih dari 140 juta orang menggunakannya untuk melakukan transaksi melebihi $250 miliar pada Maret 2023.
Kemampuan RAT PixPirate memungkinkannya mengotomatiskan seluruh proses penipuan, mulai dari mencuri kredensial pengguna dan elemen token autentikasi dua orang datang untuk melakukan transfer uang ilegal ke Pix. Semuanya terjadi di latar belakang tanpa sepengetahuan pengguna, namun izin Layanan Aksesibilitas diperlukan untuk melakukan hal ini.
Ada juga mekanisme kontrol manual cadangan jika metode ini tidak diotomatisasi, sehingga memberikan saluran lain bagi penyerang untuk melakukan penipuan perangkat. Laporan Cleafy bulan lalu juga menyoroti penggunaan malvertising (laporan malware) dan kemampuan malware untuk menonaktifkan Google Play Protect, salah satu fitur keamanan utama Android.
Meskipun metode infeksi PixPirate bukanlah hal baru dan sangat mudah memperbaikinya dengan menggunakan menghindari mengunduh file APK, tidak Menggunakan ikon dan mendaftarkan layanan yang terhubung ke sistem acara adalah strategi baru yang mengkhawatirkan.
Sumber & Foto: Dari berbagai sumber
