Account Draining Malware Hides on Android Phone Even Though It Has Been Deleted
Photo: Infographics/Don't install this application on your Android phone, or it will be robbed!/Arie Pratama
- PixPirate, account draining malware is known to hide on Android phones while remaining active, even though the infected application has been deleted.
PixPirate is a new Android malware first documented by the Cleafy TIR team last month and targets Latin American banks.
Although Cleafy noted that the separate downloader app launched the malware, the report did not delve into its innovative hiding or persistence mechanisms, or whether the mechanisms used were only recently introduced.
The report from IBM explains that the tactics used by the malware are contrary to the standards usually used by malware. Usually they try to hide the icon, which is possible on Android versions up to 9, but PixPirate does not use a launcher icon.
Quoting BleepingComputer, Friday (15/3/2024), this is what allows malware to remain hidden in all the latest Android releases up to version 14.
The IBM Trusteer research team describes a new version of the PixPirate Android malware that uses two different applications that work together to steal information from the device.
The first application is known as a 'downloader' and is distributed via APKs (Android Package Files) which are spread via phishing messages, sent via WhatsApp or SMS.
This downloader app requests access to risky permissions upon installation, including Accessibility Services, and then proceeds to download and install a second app called 'droppee', which is encrypted PixPirate banking malware.
The 'droppee' app does not declare the main activity with "android.intent.action.MAIN" and "android.intent.category.LAUNCHER" in its manifest, so no icon appears on the home screen, making it completely invisible.
Instead, the dropper app exports a service that can be connected to other apps, which the downloader connects to when it wants to trigger the launch of the PixPirate malware.
In addition to dropper applications that can launch and control malware, these triggers can be device booting, connectivity changes, or other system events that PixPirate listens for, allowing it to run in the background.
"Dropper has a service called com.companion.death.shepherd that is exported and has an intent filter with a custom action 'com.ticket.stage.Service.'," the IBM analyst explained.
And, when the downloader wants to run droppee, it creates and binds this droppee service using the BindService API with the flag "BIND_AUTO_CREATE" which creates and runs the droppee service.
"After creation and binding of the dropper service, the dropper APK is launched and starts operating," the analyst went on to explain.
Even after the victim deletes the downloader app from the device, PixPirate can continue to launch based on different device events and hide itself from the user.
The malware targets Brazil's Pix instant payments platform. They try to divert funds to attackers by intercepting or initiating fraudulent transactions.
IBM says Pix is especially popular in Brazil, where more than 140 million people use it to make transactions totaling more than US$250 billion as of March 2023.
PixPirate's RAT capabilities allow it to automate the entire fraud process, from capturing user credentials and two-factor authentication codes to carrying out unauthorized Pix money transfers, all of which happens in the background without the user's knowledge. However, Accessibility Services permission is required for this.
BleepingComputer has reached out to Google for comment on whether Google plans to take action to block this tactic.
"Based on our current detections, no apps containing this malware were found on Google Play," a Google spokesperson said.
According to the spokesperson, Android users are automatically protected against known versions of this malware through Google Play Protect, which is enabled by default on Android devices with Google Play Services.
"Google Play Protect can alert users or block apps that are known to exhibit harmful behavior, even if they come from sources outside of Play." he explained.
Malware Penguras Rekening Sembunyi di HP Android Walau Sudah Dihapus
Foto: Infografis/Jangan Install Aplikasi Ini di Ponsel Android, Atau Dirampok!/Arie Pratama
- PixPirate, malware penguras rekening diketahui bersembunyi di HP Android sambil tetap aktif, meskipun aplikasi yang terinfeksi telah dihapus.
PixPirate adalah malware Android baru yang pertama kali didokumentasikan oleh tim Cleafy TIR bulan lalu dan menargetkan bank-bank Amerika Latin.
Meskipun Cleafy mencatat bahwa aplikasi pengunduh terpisah meluncurkan malware, laporan tersebht tidak menyelidiki mekanisme persembunyian atau persistensi inovatifnya, atau mekanisme yang digunakan baru diperkenalkan baru-baru ini.
Laporan dari IBM menjelaskan, taktik yang digunakan malware tersebut bertentangan dengan standar yang biasa digunakan malware. Biasanya mereka mencoba menyembunyikan ikonnya, yang mungkin dilakukan pada versi Android hingga 9, namun PixPirate tidak menggunakan ikon peluncur atau launcher.
Mengutip BleepingComputer, Jumat (15/3/2024), hal ini yang memungkinkan malware tetap tersembunyi di semua rilis Android terbaru hingga versi 14.
Tim peneliti IBM Trusteer memaparkan versi malware Android PixPirate baru menggunakan dua aplikasi berbeda yang bekerja sama untuk mencuri informasi dari perangkat.
Aplikasi pertama dikenal sebagai 'pengunduh' dan didistribusikan melalui APK (Android Package Files) yang disebar melalui pesan phishing, dikirim via WhatsApp atau SMS.
Aplikasi pengunduh ini meminta akses ke izin berisiko pada saat instalasi, termasuk Layanan Aksesibilitas, dan kemudian melanjutkan untuk mengunduh dan menginstal aplikasi kedua bernama 'droppee', yang merupakan malware perbankan PixPirate terenkripsi.
Aplikasi 'droppee' tidak mendeklarasikan aktivitas utama dengan "android.intent.action.MAIN" dan "android.intent.category.LAUNCHER" dalam manifesnya, sehingga tidak ada ikon yang muncul di layar beranda, sehingga sama sekali tidak terlihat.
Sebaliknya, aplikasi droppee mengekspor layanan yang dapat dihubungkan dengan aplikasi lain, yang dihubungkan oleh pengunduh ketika ingin memicu peluncuran malware PixPirate.
Selain aplikasi dropper yang dapat meluncurkan dan mengontrol malware, pemicu ini dapat berupa booting perangkat, perubahan konektivitas, atau peristiwa sistem lainnya yang didengarkan oleh PixPirate, sehingga memungkinkannya dijalankan di background.
"Droppee memiliki layanan bernama com.companian.date.sepherd yang diekspor dan memiliki filter maksud dengan tindakan kustom 'com.ticket.stage.Service.'," jelas analis IBM.
Dan, ketika pengunduh ingin menjalankan droppee, ia membuat dan mengikat layanan droppee ini menggunakan API BindService dengan flag "BIND_AUTO_CREATE" yang membuat dan menjalankan layanan droppee.
"Setelah pembuatan dan pengikatan layanan droppee, APK droppee diluncurkan dan mulai beroperasi," analis itu lanjut menjelaskan.
Bahkan setelah korban menghapus aplikasi pengunduh dari perangkat, PixPirate dapat terus diluncurkan berdasarkan peristiwa perangkat yang berbeda dan menyembunyikan diri dari pengguna.
Malware ini menargetkan platform pembayaran instan Pix di Brasil. Mereka mencoba mengalihkan dana ke penyerang dengan mencegat atau memulai transaksi penipuan.
IBM mengatakan Pix sangat populer di Brasil, tempat lebih dari 140 juta orang menggunakannya untuk melakukan transaksi dengan jumlah melebihi US$250 miliar per Maret 2023.
Kemampuan RAT PixPirate memungkinkannya mengotomatiskan seluruh proses penipuan, mulai dari menangkap kredensial pengguna dan kode otentikasi dua faktor hingga melakukan transfer uang Pix tanpa izin, semuanya terjadi di background tanpa sepengetahuan pengguna. Namun, izin Layanan Aksesibilitas diperlukan untuk ini.
BleepingComputer telah menghubungi pihak Google untuk memberikan komentar apakah Google berencana mengambil tindakan untuk memblokir taktik ini.
"Berdasarkan deteksi kami saat ini, tidak ada aplikasi yang mengandung malware ini ditemukan di Google Play," kata juru bicara Google.
Menurut juru bicara tersebut, pengguna Android secara otomatis terlindungi dari versi malware ini yang diketahui melalui Google Play Protect, yang diaktifkan secara default di perangkat Android dengan Layanan Google Play.
"Google Play Protect dapat memperingatkan pengguna atau memblokir aplikasi yang diketahui menunjukkan perilaku berbahaya, meskipun aplikasi tersebut berasal dari sumber di luar Play." jelasnya.
Post a Comment