Investigadores de ciberseguridad han encontrado una nueva versión de un conocido troyano bancario para Android malware que luce un método bastante creativo para esconderse a simple vista.
PixPirate se dirige principalmente a consumidores brasileños con cuentas en la plataforma de pago instantáneo Pix, que supuestamente cuenta con más de 140 millones de clientes y transacciones de servicios por encima de los 250 mil millones de dólares.
El objetivo de la campaña era desviar el efectivo a cuentas propiedad de los atacantes. Por lo general, los troyanos bancarios en Android intentarían ocultarse cambiando los iconos y nombres de sus aplicaciones. A menudo, los troyanos asumían el ícono de “configuración”, o algo similar, engañando a las víctimas para que buscaran en otra parte o simplemente para que tuvieran demasiado miedo de eliminar la aplicación de su dispositivo. PixPirate, por otro lado, se deshace de todo eso al no tener un ícono en primer lugar.
Ejecutando el malware
La gran advertencia aquí es que sin el ícono, las víctimas no pueden iniciar el troyano, por lo que la parte crucial de la ecuación queda en manos de los atacantes.
La campaña consta de dos aplicaciones: el cuentagotas y el «droppee». El dropper se distribuye en tiendas de terceros, sitios web sospechosos y a través de canales de redes sociales, y está diseñado para entregar la carga útil final (droppee) y ejecutarla (después de solicitar accesibilidad y otros permisos).
Droppee, que es el nombre de archivo de PixPirate, exporta un servicio al que pueden conectarse otras aplicaciones. El dropper se conecta a ese servicio, permitiéndole ejecutar el troyano. Incluso después de eliminar el cuentagotas, el malware aún puede ejecutarse por sí solo, en ciertos factores desencadenantes (por ejemplo, al arrancar, al cambiar de red u otros eventos del sistema).
Todo el proceso, desde la recopilación de las credenciales del usuario hasta el inicio de la transferencia de dinero, está automatizado y se realiza en segundo plano sin el conocimiento o consentimiento de la víctima. Lo único que se interpone en el camino, afirman los investigadores, son los permisos del Servicio de Accesibilidad.
También vale la pena mencionar que este método sólo funciona en versiones anteriores de Android, hasta Pie (9).
A través de pitidocomputadora
