matthewgenovesesongstudies.com, Jakarta – PixPirate, malware Android baru yang menyasar perusahaan perbankan, dikatakan memiliki cara baru untuk bersembunyi di ponsel atau ponsel saat masih aktif, bahkan setelah aplikasi yang terinfeksi telah dihapus.
PixPirate adalah malware Android yang pertama kali didokumentasikan oleh tim Clefi TIR bulan lalu, dan tampaknya menargetkan bank-bank Amerika Latin.
Meskipun Clefy mencatat bahwa aplikasi pengunduh lain telah meluncurkan malware tersebut, laporan tersebut tidak merinci mekanisme penyembunyian atau persistensi malware tersebut.
Laporan IBM menjelaskan bahwa dalam kasus ini, tidak seperti strategi malware standar yang mencoba menyembunyikan ikonnya – mungkin dilakukan di Android hingga versi 9 – PixPirate tidak menggunakan ikon peluncur.
“Hal ini memungkinkan malware untuk tetap tersembunyi di semua versi terbaru Android hingga versi 14,” kata IBM, Kamis (14/3/2024), mengutip BleepingComputer.
Tim IBM Trusteer Research telah mendeskripsikan varian baru malware PixPirate Android yang menggunakan dua aplikasi terpisah yang bekerja sama untuk mencuri informasi dari perangkat.
Aplikasi pertama dikenal sebagai ‘Pengunduh’ dan didistribusikan melalui APK (file paket Android), yang didistribusikan melalui pesan phishing yang dikirim melalui WhatsApp atau SMS.
Aplikasi unduhan ini memerlukan akses ke izin berisiko, termasuk Layanan Aksesibilitas, selama instalasi. Kemudian dilanjutkan dengan mengunduh dan menginstal aplikasi kedua (disebut Droopy), yang merupakan malware bank PixPirate terenkripsi.
Aplikasi Droopy tidak menampilkan aktivitas utama dengan “android.intent.action.MAIN” dan “android.intent.category.LAUNCHER” dalam manifesnya, sehingga tidak ada ikon yang muncul di layar beranda dan sama sekali tidak terlihat.
Sebaliknya, aplikasi Droopy mengekspor layanan yang dapat dihubungkan dengan aplikasi lain, yang terhubung dengan pengunduh ketika ingin meluncurkan malware Pixpirate.
Selain aplikasi dropper yang dapat meluncurkan dan memantau malware, pemicu ini dapat berupa pengaktifan perangkat, perubahan koneksi, atau peristiwa sistem lainnya yang dideteksi PixPirate, sehingga memungkinkannya berjalan di latar belakang.
“Droopy memiliki layanan bernama “com.companion.date.sepherd” yang diekspor dan menyertakan filter maksud dengan tindakan khusus ‘com.ticket.stage.Service’.” Analis IBM menjelaskan.
“Saat pengunduh ingin menjalankan Droopy, ia membuat dan mengikat layanan Droopy dengan flag “BIND_AUTO_CREATE” menggunakan API “BINDService”, yang membuat dan menjalankan layanan Droopy. Diluncurkan dan mulai beroperasi, ” jelas analis. ,
Sekalipun korban menghapus aplikasi pengunduh dari perangkat, PixPirate dapat terus beroperasi di perangkat lain dan menyembunyikan keberadaan pengguna.
Malware ini menargetkan platform pembayaran instan di Brasil bernama Pix, tempat penyerang mencoba mentransfer dana dengan memblokir atau memulai transaksi penipuan.
IBM mengatakan Pix sangat populer di Brasil, di mana lebih dari 140 juta orang menggunakannya untuk transaksi senilai lebih dari US$250 miliar pada Maret 2023.
Kemampuan RAT PixPirate memungkinkannya mengotomatiskan seluruh proses penipuan, mulai dari mencuri kredensial pengguna dan kode otentikasi dua faktor hingga melakukan transfer Pix yang tidak sah. Segala sesuatu terjadi di latar belakang tanpa sepengetahuan pengguna, namun memerlukan izin Layanan Aksesibilitas.
Terdapat juga mekanisme cadangan manual jika metode otomatis gagal, memberikan penyerang saluran lain untuk melakukan penipuan pada perangkat.
Laporan Clefi bulan lalu juga menyoroti penggunaan iklan malware (malware advertising) dan kemampuan malware tersebut untuk menonaktifkan Google Play Protect, salah satu fitur keamanan utama Android.
Meskipun metode infeksi PixPirate bukanlah hal baru dan mudah diperbaiki dengan menghindari mengunduh APK, menggunakan ikon dan layanan registrasi yang terkait dengan kejadian sistem adalah taktik baru yang mengkhawatirkan.