يستهدف حصان طروادة مصرفي جديد لنظام أندرويد المؤسسات المالية البرازيلية لارتكاب عمليات احتيال من خلال الاستفادة من منصة مدفوعات PIX.
شركة الأمن السيبراني الإيطالية Cleafy ، التي اكتشفت البرمجيات الخبيثة بين نهاية عام 2022 وبداية عام 2023 ، تتعقبها تحت اسم PixPirate.
“تنتمي PixPirate إلى أحدث جيل من طروادة Android المصرفية ، حيث يمكنها تنفيذ ATS (نظام التحويل التلقائي) ، مما يمكّن المهاجمين من أتمتة إدخال تحويل الأموال الضار عبر منصة الدفع الفوري Pix ، التي اعتمدتها عدة بنوك برازيلية” ، وفقًا للباحثين فرانشيسكو يوباتي وأليساندرو سترينو.
كما أنها أحدث إضافة في قائمة طويلة من البرامج الضارة المصرفية لنظام Android لإساءة استخدام واجهة برمجة تطبيقات خدمات الوصول لنظام التشغيل لتنفيذ وظائفها الشائنة ، بما في ذلك تعطيل Google Play Protect ، واعتراض رسائل SMS ، ومنع إلغاء التثبيت ، وعرض الإعلانات الاحتيالية عبر الإشعارات الفورية.
إلى جانب سرقة كلمات المرور التي أدخلها المستخدمون في التطبيقات المصرفية ، استفاد الفاعلون المهددون وراء العملية من إخفاء الكود والتشفير باستخدام إطار عمل يُعرف باسم Auto.js لمقاومة جهود الهندسة العكسية.
تأتي تطبيقات القطارة المستخدمة لتقديم PixPirate تحت زي تطبيقات المصادقة. لا توجد مؤشرات على نشر التطبيقات على متجر Google Play الرسمي.
“إن إدخال قدرات ATS المقترنة بأطر من شأنها أن تساعد في تطوير تطبيقات الهاتف المحمول ، باستخدام لغات مرنة وأكثر انتشارًا (تقليل منحنى التعلم ووقت التطوير) ، يمكن أن يؤدي إلى برامج ضارة أكثر تعقيدًا يمكن مقارنتها في المستقبل وفقًا للباحثين “.
يأتي هذا التطوير أيضًا في الوقت الذي يسلط فيه Cyble الضوء على جهاز طروادة جديد للوصول عن بُعد لنظام Android يحمل الاسم الرمزي Gigabud RAT ويستهدف المستخدمين في تايلاند وبيرو والفلبين منذ يوليو 2022 على الأقل من خلال التنكر في هيئة تطبيقات البنوك والحكومة.