La última versión del troyano bancario PixPirate para Android emplea un nuevo método para ocultarse en los teléfonos mientras permanece activo, incluso si se ha eliminado su aplicación cuentagotas.
PixPirate es un nuevo malware para Android documentado por primera vez por el equipo de Cleafy TIR el mes pasado y dirigido a bancos latinoamericanos.
Aunque Cleafy señaló que una aplicación de descarga separada inicia el malware, el informe no profundizó en sus innovadores mecanismos de ocultación o persistencia, o estos se introdujeron recientemente.
Un nuevo informe de IBM explica que, contrariamente a la táctica estándar del malware que intenta ocultar su ícono, lo cual es posible en las versiones de Android hasta 9, PixPirate no utiliza un ícono de inicio. Esto permite que el malware permanezca oculto en todas las versiones recientes de Android hasta la versión 14.
Sin embargo, no utilizar ningún icono crea el problema práctico de no darle a la víctima una forma de iniciar el malware.
Los investigadores de IBM Trusteer explican que las nuevas versiones de PixPirate utilizan dos aplicaciones diferentes que trabajan juntas para robar información de los dispositivos.
La primera aplicación se conoce como ‘descargador’ y se distribuye a través de APK (Android Package Files) que se difunden a través de mensajes de phishing enviados por WhatsApp o SMS.
Esta aplicación de descarga solicita acceso a permisos riesgosos durante la instalación, incluidos los servicios de accesibilidad, y luego procede a descargar e instalar la segunda aplicación (llamada ‘droppee’), que es el malware bancario cifrado PixPirate.
La aplicación ‘droppee’ no declara una actividad principal con “android.intent.action.MAIN” y “android.intent.category.LAUNCHER” en su manifiesto, por lo que no aparece ningún ícono en la pantalla de inicio, lo que la hace completamente invisible.
En cambio, la aplicación droppee exporta un servicio al que otras aplicaciones pueden conectarse, al que el descargador se conecta cuando quiere activar el lanzamiento del malware PixPirate.
Además de la aplicación cuentagotas que puede iniciar y controlar el malware, estos desencadenantes podrían ser el arranque del dispositivo, cambios de conectividad u otros eventos del sistema que PixPirate escucha, lo que le permite ejecutarse en segundo plano.
Incluso si la víctima elimina la aplicación de descarga del dispositivo, PixPirate puede continuar ejecutándose en función de diferentes eventos del dispositivo y ocultar su existencia al usuario.
El malware se dirige a la plataforma brasileña de pagos instantáneos Pix e intenta desviar fondos a los atacantes interceptando o iniciando transacciones fraudulentas.
IBM dice que Pix es muy popular en Brasil, donde más de 140 millones de personas lo utilizan para realizar transacciones que han superado los 250 mil millones de dólares hasta marzo de 2023.
El informe de Cleafy del mes pasado también destacó el uso de publicidad maliciosa de notificaciones automáticas y la capacidad del malware para desactivar Google Play Protect, una de las principales funciones de seguridad de Android.