Các chuyên gia an ninh mạng đã phát hiện một phiên bản mới của phần mềm độc hại Android chuyên đánh cắp thông tin tài khoản ngân hàng (trojan) nổi tiếng, đáng chú ý, phiên bản này có khả năng sử dụng phương pháp ẩn danh khá sáng tạo để lừa đảo người dùng.
Để cụ thể hơn, phần mềm độc hại PixPirate chủ yếu nhắm vào người dùng Brazil có tài khoản trên nền tảng thanh toán tức thời Pix. Nền tảng này có hơn 140 triệu khách hàng và xử lý các giao dịch trị giá hơn 250 tỷ USD. Mục tiêu của chiến dịch tấn công là chuyển tiền vào tài khoản của tin tặc.
Thường thì, các phần mềm độc hại ngân hàng trên hệ điều hành Android sẽ cố gắng "ẩn mình" bằng cách thay đổi biểu tượng và tên ứng dụng để đánh lừa người dùng, khiến họ không chú ý hoặc đơn giản không đủ can đảm để gỡ bỏ ứng dụng khỏi thiết bị. Tuy nhiên, PixPirate lại chọn cách không sử dụng biểu tượng ngay từ đầu.
Vấn đề quan trọng ở đây là nếu thiếu biểu tượng, nạn nhân sẽ không thể khởi chạy trojan, do đó bước này phụ thuộc vào kẻ tấn công.
PixPirate sẽ có hai ứng dụng là dropper và "droppee". Dropper sẽ được phân phối trên các cửa hàng của bên thứ ba, các trang web đáng ngờ và thông qua các kênh truyền thông xã hội, được thiết kế để tải về những thành phần độc hại chính là droppee, sau đó sẽ khởi chạy nếu đã được cấp đủ các quyền truy cập thiết bị.
Droppee cung cấp một dịch vụ mà các ứng dụng khác có thể liên kết, sau đó nó sẽ kết nối với dịch vụ đó để chạy trojan. Ngay cả sau khi gỡ bỏ dropper, phần mềm độc hại vẫn có thể tự khởi động lại.
Toàn bộ quá trình, từ việc thu thập thông tin đăng nhập của người dùng cho đến việc bắt đầu chuyển tiền, đều được thực hiện tự động mà không cần sự cho phép hoặc nhận biết từ phía nạn nhân. Các nhà nghiên cứu khẳng định rằng cách duy nhất để ngăn chặn PixPirate là tắt quyền truy cập của nó vào dịch vụ trợ năng trên hệ thống.
Tuy nhiên, một điều khá may mắn là cách thức này chỉ hoạt động trên các phiên bản Android cũ, cao nhất là Android 9.
