Bahaya, Malware Android PixPirate ‘Penguras Uang’ Punya Taktik Baru untuk Bersembunyi di HP

designsuperstars.net, Jakarta – Malware Android baru yang ditujukan untuk perusahaan perbankan, PixPirate, memiliki metode baru untuk bersembunyi di ponsel atau ponsel dan tetap aktif meskipun aplikasi yang terinfeksi telah di-uninstall.

PixPirate adalah malware Android yang pertama kali didokumentasikan oleh grup Cleafy TIR bulan lalu dan tampaknya menargetkan bank-bank Amerika Latin.

Meskipun Cleafy mencatat bahwa mereka mengirimkan pengunduh malware terpisah, laporan tersebut tidak menyelidiki mekanisme persembunyian atau persistensinya.

Laporan IBM menjelaskan bahwa, tidak seperti taktik malware standar yang mencoba menyembunyikan ikonnya – mungkin dilakukan di Android hingga versi 9 – PixPirate tidak menggunakan ikon peluncur.

“Hal ini memungkinkan malware disembunyikan di semua versi terbaru Android hingga versi 14,” kata IBM, dilansir BleepingComputer, Kamis (14/3/2024).

Tim peneliti IBM Trusteer menjelaskan versi baru malware PixPirate Android yang menggunakan dua program berbeda yang bekerja sama untuk mencuri data dari perangkat.

Aplikasi pertama disebut “pengunduh” dan didistribusikan melalui APK (file paket Android) yang dikirim melalui pesan phishing, melalui WhatsApp atau SMS.

Pengunduh ini meminta akses ke izin berbahaya, termasuk layanan aksesibilitas, selama instalasi. Kemudian dilanjutkan dengan mengunduh dan menginstal aplikasi kedua (disebut droppee), yang merupakan malware perbankan terenkripsi PixPirate.

Aplikasi droppee tidak menampilkan tindakan utama dengan “android.intent.action.MAIN” dan “android.intent.category.LAUNCHER” dalam representasinya, jadi tidak ada ikon yang terlihat di layar beranda dan sama sekali tidak terlihat.

Sebaliknya, program droppee mengekspor layanan yang dapat dihubungkan dengan program lain, yang dilampirkan oleh pengunduh ketika malware PixPirate dibuka.

Selain program dropper yang dapat meluncurkan dan memantau malware, pemicu ini dapat berupa pengaktifan perangkat, perubahan koneksi, atau peristiwa sistem lainnya yang dideteksi oleh PixPirate dan memungkinkannya berjalan di latar belakang.

“Droppee memiliki layanan yang disebut ‘com.companion.date.sepherd’ yang diekspor dan memiliki filter maksud dengan tindakan kustom ‘com.ticket.stage.Service.'” jelas analis IBM.

“Saat pengunduh ingin menjalankan droppee, ia membuat dan mengikat layanan droppee menggunakan API “BindService” dengan flag “BIND_AUTO_CREATE”, yang membuat dan menjalankan layanan droppee. Setelah membuat dan menutup layanan droppee, APK droppee adalah aktif dan berjalan,” analis menjelaskan. .

Bahkan jika korban menghapus pengunduh dari perangkatnya, PixPirate dapat beroperasi di perangkat yang berbeda dan menyembunyikan kontennya dari pengguna.

Malware ini menargetkan platform pembayaran instan bernama Pix di Brasil, mencoba mengalihkan dana ke penyerang dengan mencegat atau memulai operasi penipuan.

Pix populer di Brasil, di mana lebih dari 140 juta orang telah menggunakannya untuk menyelesaikan transaksi lebih dari $250 miliar pada Maret 2023, kata IBM.

Kemampuan RAT PixPirate memungkinkannya mengotomatiskan seluruh proses penipuan, mulai dari mencuri informasi pengguna dan kode otentikasi dua faktor hingga transfer Pix yang tidak sah. Segala sesuatu terjadi di latar belakang tanpa sepengetahuan pengguna, namun memerlukan izin dari Layanan Akses.

Ada juga mekanisme kontrol manual yang memberi penyerang saluran lain untuk menipu perangkat ketika metode otomatis gagal.

Laporan Cleafy bulan lalu juga menyoroti penggunaan adware (malware periklanan) dan kemampuan malware untuk menonaktifkan Google Play Protect, salah satu fitur keamanan utama Android.

Meskipun metode infeksi PixPirate bukanlah hal baru dan dapat dengan mudah disembuhkan dengan mencegah pengunduhan APK, tidak menggunakan sinyal dan layanan pencatatan yang terkait dengan peristiwa sistem adalah strategi baru yang menjadi perhatian.