KNews.id – PixPirate, malware penguras rekening diketahui bersembunyi di HP Android sambil tetap aktif, meskipun aplikasi yang terinfeksi telah dihapus.
PixPirate adalah malware Android baru yang pertama kali didokumentasikan oleh tim Cleafy TIR bulan lalu dan menargetkan bank-bank Amerika Latin.
Meskipun Cleafy mencatat bahwa aplikasi pengunduh terpisah meluncurkan malware, laporan tersebht tidak menyelidiki mekanisme persembunyian atau persistensi inovatifnya, atau mekanisme yang digunakan baru diperkenalkan baru-baru ini.
Laporan dari IBM menjelaskan, taktik yang digunakan malware tersebut bertentangan dengan standar yang biasa digunakan malware. Biasanya mereka mencoba menyembunyikan ikonnya, yang mungkin dilakukan pada versi Android hingga 9, namun PixPirate tidak menggunakan ikon peluncur atau launcher.
Hal ini yang memungkinkan malware tetap tersembunyi di semua rilis Android terbaru hingga versi 14. Tim peneliti IBM Trusteer memaparkan versi malware Android PixPirate baru menggunakan dua aplikasi berbeda yang bekerja sama untuk mencuri informasi dari perangkat.
Aplikasi pertama dikenal sebagai ‘pengunduh’ dan didistribusikan melalui APK (Android Package Files) yang disebar melalui pesan phishing, dikirim via WhatsApp atau SMS.
Aplikasi pengunduh ini meminta akses ke izin berisiko pada saat instalasi, termasuk Layanan Aksesibilitas, dan kemudian melanjutkan untuk mengunduh dan menginstal aplikasi kedua bernama ‘droppee’, yang merupakan malware perbankan PixPirate terenkripsi.
Aplikasi ‘droppee’ tidak mendeklarasikan aktivitas utama dengan “android.intent.action.MAIN” dan “android.intent.category.LAUNCHER” dalam manifesnya, sehingga tidak ada ikon yang muncul di layar beranda, sehingga sama sekali tidak terlihat.
Sebaliknya, aplikasi droppee mengekspor layanan yang dapat dihubungkan dengan aplikasi lain, yang dihubungkan oleh pengunduh ketika ingin memicu peluncuran malware PixPirate.
Selain aplikasi dropper yang dapat meluncurkan dan mengontrol malware, pemicu ini dapat berupa booting perangkat, perubahan konektivitas, atau peristiwa sistem lainnya yang didengarkan oleh PixPirate, sehingga memungkinkannya dijalankan di background.
“Droppee memiliki layanan bernama com.companian.date.sepherd yang diekspor dan memiliki filter maksud dengan tindakan kustom ‘com.ticket.stage.Service.’,” jelas analis IBM.
Dan, ketika pengunduh ingin menjalankan droppee, ia membuat dan mengikat layanan droppee ini menggunakan API BindService dengan flag “BIND_AUTO_CREATE” yang membuat dan menjalankan layanan droppee.
“Setelah pembuatan dan pengikatan layanan droppee, APK droppee diluncurkan dan mulai beroperasi,” analis itu lanjut menjelaskan.
Bahkan setelah korban menghapus aplikasi pengunduh dari perangkat, PixPirate dapat terus diluncurkan berdasarkan peristiwa perangkat yang berbeda dan menyembunyikan diri dari pengguna.
Malware ini menargetkan platform pembayaran instan Pix di Brasil. Mereka mencoba mengalihkan dana ke penyerang dengan mencegat atau memulai transaksi penipuan.
IBM mengatakan Pix sangat populer di Brasil, tempat lebih dari 140 juta orang menggunakannya untuk melakukan transaksi dengan jumlah melebihi US$250 miliar per Maret 2023.
Kemampuan RAT PixPirate memungkinkannya mengotomatiskan seluruh proses penipuan, mulai dari menangkap kredensial pengguna dan kode otentikasi dua faktor hingga melakukan transfer uang Pix tanpa izin, semuanya terjadi di background tanpa sepengetahuan pengguna. Namun, izin Layanan Aksesibilitas diperlukan untuk ini.
BleepingComputer telah menghubungi pihak Google untuk memberikan komentar apakah Google berencana mengambil tindakan untuk memblokir taktik ini.
“Berdasarkan deteksi kami saat ini, tidak ada aplikasi yang mengandung malware ini ditemukan di Google Play,” kata juru bicara Google.
Menurut juru bicara tersebut, pengguna Android secara otomatis terlindungi dari versi malware ini yang diketahui melalui Google Play Protect, yang diaktifkan secara default di perangkat Android dengan Layanan Google Play.
“Google Play Protect dapat memperingatkan pengguna atau memblokir aplikasi yang diketahui menunjukkan perilaku berbahaya, meskipun aplikasi tersebut berasal dari sumber di luar Play.” jelasnya.
