Kim Official, Jakarta – Malware Android baru yang menyasar perusahaan perbankan, PixPirate, memiliki metode baru untuk bersembunyi di ponsel atau ponsel saat sedang aktif, bahkan setelah aplikasi yang terinfeksi telah dihapus.
PixPirate adalah malware Android yang didokumentasikan bulan lalu oleh tim Cleafy TIR yang tampaknya menargetkan bank-bank Amerika Latin.
Meskipun Cleafy mencatat bahwa aplikasi pengunduhan terpisah meluncurkan malware tersebut, laporan tersebut tidak membahas mekanisme persembunyian atau persistensinya.
Laporan IBM menjelaskan bahwa tidak seperti taktik malware standar yang mencoba menyembunyikan ikonnya – mungkin dilakukan di Android hingga versi 9 – PixPirate tidak menggunakan ikon peluncur.
“Hal ini memungkinkan malware bersembunyi di semua versi terbaru Android hingga versi 14,” kata IBM seperti dikutip Bleeping Computer, Kamis (14/3/2024).
Tim peneliti IBM Trusteer menjelaskan versi baru malware PixPirate Android yang menggunakan dua aplikasi berbeda yang bekerja sama untuk mencuri informasi dari perangkat.
Aplikasi pertama dikenal dengan nama ‘Downloader’ dan didistribusikan melalui APK (Android Package Files) yang disebarkan melalui pesan phishing yang dikirim melalui WhatsApp atau SMS.
Aplikasi unduhan ini memerlukan akses ke izin yang berisiko selama instalasi, termasuk layanan aksesibilitas Kemudian dilanjutkan dengan mengunduh dan menginstal aplikasi lain (disebut Droppy), yang merupakan malware perbankan terenkripsi Pixpirate.
Aplikasi droppee tidak menampilkan aktivitas utama dengan “android.intent.action.MAIN” dan “android.intent.category.LAUNCHER” dalam manifesnya, sehingga ikon tidak muncul di layar beranda dan sama sekali tidak terlihat.
Sebaliknya, aplikasi Droppy mengekspor layanan yang dapat dihubungkan dengan aplikasi lain, yang dihubungkan oleh pengunduh ketika ingin menjalankan malware PixPirate.
Selain aplikasi dropper yang dapat meluncurkan dan mengontrol malware, pemicu ini dapat berupa pengaktifan perangkat, perubahan koneksi, atau peristiwa sistem lainnya yang dideteksi PixPirate, sehingga memungkinkannya berjalan di latar belakang.
“Droppy memiliki layanan bernama ‘com.companion.date.sepherd’ yang diekspor dan menyertakan filter maksud dengan tindakan khusus ‘com.ticket.stage.Service’.” Analis IBM menjelaskan
“Ketika pengunduh ingin menjalankan droppy, ia membuat dan mengikat layanan droppy ini menggunakan API “BindService” dengan tanda “Bind_AUTO_CREATE” yang membuat dan memulai layanan droppy. Setelah membuat dan mengikat layanan droppy, APK droppy diluncurkan Dan mulai bekerja,” jelasnya kepada seorang analis.
Sekalipun korban menghapus aplikasi yang diunduh dari perangkat, PixPirate dapat terus bekerja di perangkat berbeda dan menyembunyikan keberadaannya dari pengguna.
Malware tersebut menargetkan Pix, platform pembayaran instan di Brasil, mencoba mengalihkan dana ke penyerang dengan mencegat atau memulai transaksi penipuan.
IBM mengatakan Pix sangat populer di Brasil, di mana lebih dari 140 juta orang menggunakannya untuk menangani transaksi senilai lebih dari $250 miliar pada Maret 2023.
Kemampuan RAT PixPirate memungkinkannya mengotomatiskan seluruh proses penipuan, mulai dari mencuri kredensial pengguna dan kode otentikasi dua faktor hingga mentransfer uang Pix tanpa izin. Segala sesuatu terjadi di latar belakang tanpa sepengetahuan pengguna, namun layanan aksesibilitas memerlukan izin
Ada juga mekanisme kontrol manual cadangan ketika metode otomatis gagal, memberikan penyerang saluran lain untuk menipu perangkat.
Laporan Cliffy bulan lalu juga menyoroti penggunaan malvertising (iklan malware) dan kemampuan malware untuk menonaktifkan Google Play Protect, salah satu fitur keamanan utama Android.
Meskipun metode infeksi PixPirate bukanlah hal baru dan dapat dengan mudah diatasi dengan menghindari mengunduh APK, tidak menggunakan ikon dan mendaftarkan layanan yang terkait dengan kejadian sistem adalah taktik baru yang mengkhawatirkan.