Malware PixPirate Wykorzystuje WhatsApp do Oszukiwania Użytkowników i Kradzieży Danych Finansowych

Szkodliwe oprogramowanie PixPirate, rozprzestrzeniające się za pośrednictwem WhatsApp, ma na celu aplikacje finansowe w Brazylii, Indiach, Włoszech i Meksyku, kradnąc dane i pozostając niewykryte.

Nowa fala złośliwego oprogramowania, znana jako PixPirate, rozprzestrzenia się bardzo szybko. Głównie są narażeni użytkownicy bankowości w Brazylii i Indiach, ale jej zasięg sięga również do Włoch i Meksyku.

Badacze z zakresu bezpieczeństwa z Trusteer Lab zidentyfikowali to zagrożenie, podkreślając jego zaawansowane techniki, które manipulują użytkownikami do pobierania złośliwych aplikacji ukrytych pod postacią legalnych narzędzi finansowych, jak podaje Security Intelligence.

PixPirate składa się z dwóch głównych komponentów: programu do pobierania i instalatora (zwany droppee). Program do pobierania udaje aplikację do autentykacji, zaprojektowaną do ochrony kont bankowych. Po zainstalowaniu nie tylko uruchamia złośliwy instalator, ale także aktywnie zarządza jego operacjami, umożliwiając przestępstwa finansowe.

Ta aplikacja nie jest dostępna na oficjalnych platformach, takich jak Google Play Store. Zamiast tego, rozpowszechnia się poprzez wiadomości phishingowe wysyłane za pośrednictwem SMS (znane jako smishing) lub spam na WhatsApp od zainfekowanych użytkowników.

Po zainstalowaniu programu do pobierania, oszukuje on użytkowników, prosząc o nadanie uprawnień pod pretekstem wymaganego „aktualizacji”. W rzeczywistości, ten proces instaluje na urządzeniu ofiary tzw. dropper malware. Dropper pozostaje ukryty, bez ikony wyświetlanej na ekranie głównym, co utrudnia jego wykrycie przez użytkowników.

Początkowo zidentyfikowany w Brazylii, PixPirate głównie atakuje krajowy system płatności Pix, szeroko używany w brazylijskich aplikacjach bankowych. Raporty Trusteer Lab wskazują, że około 70% zakażeń występuje w Brazylii.

Jednakże, 20% przypadków zostało zidentyfikowanych w Indiach, gdzie złośliwe oprogramowanie wydaje się szykować do ataku na krajową platformę United Payments Interface (UPI), która umożliwia natychmiastowe płatności dla milionów użytkowników.

Zakażenia zaczęły pojawiać się także we Włoszech i Meksyku, co sugeruje, że sprawcy ataku mają na celu rozszerzenie swoich operacji na całym świecie. Twórcy złośliwego oprogramowania używają narzędzi, takich jak instruktażowe filmy na YouTube, aby pokierować ofiarami w udzielaniu uprawnień, co dodatkowo sprzyja jego rozprzestrzenianiu.

Unikalną funkcją PixPirate jest integracja z WhatsAppem, aby wysyłać wiadomości phishingowe z zainfekowanych urządzeń. Dostając się do list kontaktów ofiar, sam siebie rozprzestrzenia, wysyłając wiadomości, które wydają się pochodzić od zaufanych źródeł, wykorzystując poczucie bezpieczeństwa odbiorcy.

Podczas tej aktywności, PixPirate używa nakładki, aby ukryć swoje działania przed użytkownikiem, zapewniając, że ofiara pozostaje nieświadoma. Security Intelligence zauważa, że PixPirate stosuje zaawansowane metody, w tym zdalny dostęp, przechwytywanie SMS-ów i funkcje przeciw usuwaniu.

Wykorzystuje nawet usługi dostępności Androida do naśladowania interakcji ludzkich, takich jak klikanie przycisków, aby wysłać wiadomości na WhatsApp. Te funkcje umożliwiają złośliwemu oprogramowaniu automatyczne i dyskretne przeprowadzanie oszustw.

Odrodzenie PixPirate’a podkreśla rosnącą wyrafinowanie operacji cyberprzestępczych, które na celu mają platformy bankowości mobilnej na całym świecie. Użytkownikom zaleca się unikanie pobierania aplikacji z nieznanych źródeł, dokładne analizowanie nieoczekiwanych wiadomości i stosowanie silnych środków bezpieczeństwa cybernetycznego w celu ochrony swoich urządzeń.