wmtech logo

El troyano bancario para Android llamado PixPirate está utilizando una nueva táctica de evasión para dirigirse a usuarios brasileños

Luis Quiles
Luis Quiles
Seguridad Movil, Fraude Financiero

Los actores de amenazas detrás del troyano bancario para Android PixPirate están aprovechando un nuevo truco para evadir la detección en dispositivos comprometidos y recopilar información sensible de usuarios en Brasil.

El enfoque les permite ocultar el icono de la aplicación maliciosa de la pantalla de inicio del dispositivo de la víctima, según dijo IBM en un informe técnico publicado hoy.

«Gracias a esta nueva técnica, durante las fases de reconocimiento y ataque de PixPirate, la víctima permanece ajena a las operaciones maliciosas que este malware realiza en segundo plano», dijo el investigador de seguridad Nir Somech.

PixPirate, que fue documentado por primera vez por Cleafy en febrero de 2023, es conocido por su abuso de los servicios de accesibilidad de Android para realizar transferencias de fondos no autorizadas de forma encubierta utilizando la plataforma de pago instantáneo PIX cuando se abre una aplicación bancaria objetivo.

El malware en constante mutación también es capaz de robar credenciales bancarias en línea e información de tarjetas de crédito de las víctimas, así como de capturar pulsaciones de teclas e interceptar mensajes SMS para acceder a códigos de autenticación de dos factores.

Normalmente distribuido a través de SMS y WhatsApp, el flujo de ataque implica el uso de una aplicación de descarga (también conocida como downloader) que está diseñada para desplegar la carga útil principal (también conocida como droppee) para llevar a cabo el fraude financiero.

«Por lo general, el descargador se utiliza para descargar e instalar el droppee, y a partir de este punto, el droppee es el actor principal que realiza todas las operaciones fraudulentas y el descargador es irrelevante», explicó Somech.

«En el caso de PixPirate, el descargador es responsable no solo de descargar e instalar el droppee, sino también de ejecutarlo. El descargador juega un papel activo en las actividades maliciosas del droppee, ya que se comunican entre sí y envían comandos para ejecutar».

La aplicación APK del descargador, una vez lanzada, solicita al usuario que actualice la aplicación para recuperar el componente de PixPirate desde un servidor controlado por los actores o instalarlo si está incrustado en sí mismo.

ok

Lo que ha cambiado en la última versión del droppee es la ausencia de actividad con la acción «android.intent.action.MAIN» y la categoría «android.intent.category.LAUNCHER» que permite a un usuario lanzar una aplicación desde la pantalla de inicio al tocar su icono.

En otras palabras, la cadena de infección requiere que tanto el descargador como el droppee trabajen en conjunto, siendo el primero responsable de ejecutar el APK de PixPirate mediante la vinculación a un servicio exportado por el droppee.

«Más tarde, para mantener la persistencia, también se activa el droppee mediante los diferentes receptores que registró», dijo Somech. «Los receptores están configurados para activarse en función de diferentes eventos que ocurren en el sistema y no necesariamente por el descargador que inicialmente activó la ejecución del droppee».

«Esta técnica permite que el droppee de PixPirate se ejecute y oculte su existencia incluso si la víctima elimina el descargador de PixPirate de su dispositivo».

Este desarrollo se produce en un momento en el que los bancos de América Latina (LATAM) se han convertido en el objetivo de un nuevo malware llamado Fakext, que utiliza una extensión maliciosa de Microsoft Edge llamada SATiD para llevar a cabo ataques de intermediario y de inyección web con el objetivo de obtener credenciales ingresadas en el sitio bancario objetivo.

Cabe destacar que SAT ID es un servicio ofrecido por el Servicio de Administración Tributaria (SAT) de México para generar y actualizar firmas electrónicas para la presentación de impuestos en línea.

En casos seleccionados, Fakext está diseñado para mostrar una superposición que insta a la víctima a descargar una herramienta de acceso remoto legítima, haciéndose pasar por el equipo de soporte informático del banco, lo que finalmente permite a los actores de amenazas llevar a cabo fraudes financieros.

La campaña, activa desde al menos noviembre de 2023, se centra en 14 bancos que operan en la región, la mayoría de los cuales se encuentran en México. Desde entonces, la extensión ha sido eliminada de la tienda de complementos de Edge.

Actualización#

Después de la publicación de la historia, un portavoz de Google compartió la siguiente declaración con The Hacker News:

Según nuestras detecciones actuales, no se han encontrado aplicaciones que contengan este malware en Google Play. Los usuarios de Android están automáticamente protegidos contra versiones conocidas de este malware por Google Play Protect, que está activado de forma predeterminada en los dispositivos Android con Google Play Services. Google Play Protect puede advertir a los usuarios o bloquear aplicaciones conocidas por mostrar comportamiento malicioso, incluso cuando esas aplicaciones provienen de fuentes fuera de Play.

Share this article :

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Descubre los últimos artículos del blog sobre seguridad cibernética.