Troyano bancario PixPirate
En febrero de 2024, investigadores de ciberseguridad sacaron a la luz la existencia de un malware de Android previamente desconocido rastreado como PixPirate. Esta amenaza se ha desplegado en ataques dirigidos contra bancos en América Latina. Actualmente, los expertos advierten que ha aparecido una iteración actualizada del troyano bancario PixPirate, que presenta una nueva técnica sigilosa que le permite persistir en los dispositivos incluso después de que se haya eliminado su aplicación cuentagotas.
Tabla de contenido
PixPirate utiliza dos aplicaciones diferentes para recopilar información bancaria de los teléfonos Android de las víctimas
Los investigadores han notado una desviación significativa de la estrategia convencional empleada por el malware, particularmente con PixPirate. A diferencia del malware típico que intenta ocultar su ícono, una táctica posible en las versiones de Android hasta 9, PixPirate no utiliza un ícono de inicio por completo. Este enfoque único permite que el malware permanezca oculto en los sistemas Android recientes, extendiéndose hasta la versión 14. Sin embargo, la ausencia de un ícono presenta otro desafío: no proporcionar medios para que las víctimas inicien el malware. Para evitar este problema, PixPirate emplea dos aplicaciones distintas que funcionan en conjunto para recopilar datos confidenciales de los dispositivos infectados.
La aplicación inicial, denominada 'descargador', se difunde como APK (archivos de paquete de Android) y se distribuye a través de mensajes de phishing en plataformas como WhatsApp o SMS. Tras la instalación, esta aplicación de descarga solicita acceso a permisos de alto riesgo, incluidos los servicios de accesibilidad. Posteriormente, procede a buscar e instalar la segunda aplicación, denominada 'droppee', que es el malware bancario cifrado PixPirate.
La aplicación 'droppee' se abstiene de declarar una actividad primaria con 'android.intent.action.MAIN' y 'android.intent.category.LAUNCHER' en su manifiesto, asegurando así la ausencia de un icono en la pantalla de inicio, mostrándola completamente discreto. En cambio, la aplicación droppee exporta un servicio al que otras aplicaciones pueden acceder. El programa de descarga establece una conexión con este servicio para iniciar el lanzamiento del malware PixPirate según sea necesario.
Varios desencadenantes pueden iniciar la ejecución del troyano bancario PixPirate
Además de la capacidad de la aplicación dropper para iniciar y controlar el malware, PixPirate también puede activarse mediante varios eventos del sistema, como el arranque del dispositivo o cambios en la conectividad, que monitorea activamente. Esto permite a PixPirate operar subrepticiamente en el fondo del dispositivo de la víctima.
El componente droppee de PixPirate presenta un servicio llamado 'com.companian.date.sepherd', que se exporta y está equipado con un filtro de intención que utiliza la acción personalizada 'com.ticket.stage.Service'. Cuando el programa de descarga intenta activar Droppee, establece una conexión con este servicio utilizando la API 'BindService' junto con el indicador 'BIND_AUTO_CREATE'. Esta acción da como resultado la creación y ejecución del servicio droppee.
Tras el proceso de creación y vinculación del servicio droppee, se lanza el APK de droppee y comienza sus operaciones. En este punto, incluso si la víctima elimina la aplicación de descarga del dispositivo, PixPirate puede continuar manteniendo su funcionamiento, activado por varios eventos del dispositivo, mientras oculta efectivamente su presencia al usuario.
PixPirate apunta específicamente a la plataforma de pago Pix
El malware se dirige específicamente a la plataforma de pago instantáneo Pix en Brasil, con el objetivo de desviar fondos a los atacantes interceptando o iniciando transacciones fraudulentas. Pix ha ganado una popularidad significativa en Brasil, con más de 140 millones de usuarios realizando transacciones que superan los 250 mil millones de dólares en marzo de 2023.
PixPirate aprovecha las capacidades del troyano de acceso remoto (RAT) para automatizar todo el proceso fraudulento, desde la captura de credenciales de usuario y códigos de autenticación de dos factores hasta la ejecución de transferencias de dinero Pix no autorizadas, todo de forma sigilosa y sin que el usuario se dé cuenta. Sin embargo, para realizar estas tareas es necesario obtener permisos del Servicio de Accesibilidad.
Además, PixPirate incorpora un mecanismo de control manual alternativo para los casos en los que fallan los métodos automatizados, lo que proporciona a los atacantes un medio alternativo para llevar a cabo fraudes en el dispositivo. Los investigadores también destacan la utilización por parte del malware de publicidad maliciosa de notificaciones automáticas y su capacidad para desactivar Google Play Protect, una característica de seguridad fundamental de la plataforma Android.
Si bien el método de infección empleado por PixPirate no es innovador y puede mitigarse absteniéndose de descargar APK no autorizados, su adopción de estrategias como la ausencia de un ícono y el registro de servicios vinculados a eventos del sistema representa un enfoque novedoso y preocupante.
