pemainku.com, Jakarta – PixPirate adalah aplikasi seluler Android baru yang bersembunyi di ponsel cerdas atau tablet saat masih berjalan, meskipun aplikasi yang terinfeksi telah dihapus.
PixPirate adalah aplikasi Android yang pertama kali ditulis oleh tim Cleafy TIR bulan lalu, dan tampaknya menargetkan arsip Amerika Latin.
Meskipun Cleafy mencatat bahwa unduhan terpisah melepaskan malware tersebut, laporan tersebut tidak menyertakan sifat tersembunyi atau persistensinya.
Laporan IBM menunjukkan bahwa dalam kasus ini, tidak seperti malware biasa yang mencoba menyembunyikan ikonnya – tersedia di Android hingga versi 9 – PixPirate tidak menggunakan ikon peluncur.
“Hal ini memungkinkan malware disembunyikan di Android versi baru hingga versi 14,” kata IBM, dikutip di BleepingComputer, Jumat (14/3/2024).
Tim peneliti IBM Trusteer mengungkapkan versi baru malware PixPirate Android yang menggunakan dua program berbeda yang bekerja sama untuk mencuri informasi dari perangkat.
Aplikasi pertama dikenal sebagai ‘pengunduh’ dan didistribusikan melalui APK (file paket Android) yang didistribusikan melalui pesan phishing, dikirim melalui WhatsApp atau SMS.
Pengunduhan ini memerlukan akses izin darurat selama instalasi, termasuk layanan akses. Ia mulai mengunduh dan menginstal aplikasi sekunder (disebut droppee), yang merupakan malware perbankan terenkripsi pixPirate.
Aplikasi droppee tidak menampilkan aktivitas utama dengan “android.intent.action.MAIN” dan “android.intent.category.LAUNCHER” di tampilannya, sehingga tidak ada gambar yang terlihat di halaman beranda dan tidak terlihat.
Sebaliknya, aplikasi droppee merilis layanan yang dapat dihubungkan dengan aplikasi lain, yang terhubung dengan pengunduh jika ingin meluncurkan aplikasi PixPirate.
Selain aplikasi drop yang dapat memulai dan memindai malware, ini juga dapat memulai program, perubahan koneksi, atau kejadian sistem lainnya yang dideteksi PixPirate, sehingga dapat dijalankan dari belakang.
“Droppee memiliki layanan yang disebut “com.companion.date.sepherd” yang diekspor dan memiliki filter komentar serta rutinitas ‘com.ticket.stage.Service.’,” jelas analis IBM.
“Saat pengunduh ingin menjalankan droppee, ia membuat dan mengikat layanan droppee ini menggunakan API “BindService” dan flag “BIND_AUTO_CREATE” yang membuat dan menjalankan layanan droppee. Mulai dan mulai bekerja,” jelas analis. .
Meskipun unduhan dihapus dari program, PixPirate dapat terus bekerja di halaman berbeda dan menyembunyikan keberadaannya dari pengguna.
Malware tersebut menargetkan platform pembayaran instan bernama Pix di Brasil, dalam upaya mengalihkan uang kepada penyerang dengan memblokir atau memulai aktivitas penipuan.
IBM mengatakan bahwa Pix sangat populer di Brasil, di mana lebih dari 140 juta orang menggunakannya untuk melakukan transaksi lebih dari $250 miliar pada Maret 2023.
Kemampuan RAT PixPirate memungkinkannya mengotomatiskan seluruh proses penipuan, mulai dari mencuri kredensial pengguna dan kode otentikasi dua faktor hingga transaksi penipuan Pix. Semuanya terjadi di latar belakang tanpa sepengetahuan pengguna, namun izin layanan Aksesibilitas diperlukan untuk ini.
Ada juga fungsi pencadangan manual ketika metode gagal, memberikan penyerang cara lain untuk mengelabui perangkat.
Laporan Cleafy bulan lalu juga mengungkapkan penggunaan malvertising dan kemampuan malware untuk menonaktifkan Google Play Protect, salah satu fitur keamanan Android.
Meskipun virus PixPirate bukanlah hal baru dan mudah diperbaiki dengan memblokir unduhan APK, tidak menggunakan gambar dan layanan logging yang terkait dengan kejadian sistem adalah strategi baru yang berbahaya.