Az Androidos PixPirate banki trójai legújabb verziója egy új módszert alkalmaz arra, hogy elrejtőzzön a telefonokon, miközben aktív marad, még akkor is, ha a dropper alkalmazását eltávolították.
Az IBM jelentése szerint, a rosszindulatú szoftverek szokásos taktikájával ellentétben, amelyek megpróbálják elrejteni az ikonjukat, (ami a 9-es Android-verzióig lehetséges) a PixPirate nem használ indító ikont. Ez lehetővé teszi, hogy a kártevő minden újabb Android kiadáson rejtve maradjon. Az új PixPirate verziók két különböző alkalmazást használnak, amelyek együtt dolgoznak az eszközökről történő információlopás érdekében.
Az első alkalmazást “letöltőnek” nevezik, és WhatsAppon vagy SMS-ben küldött adathalász üzeneteken, APK-kon (Android Package Files) keresztül terjesztik.
Ez a letöltő alkalmazás a telepítéskor hozzáférést kér, többek között az Accessibility Services-hez, majd letölti és telepíti a második, droppee nevű alkalmazást amely a titkosított PixPirate banki kártevő.
A droppee alkalmazás nem deklarálja a manifesztjében az android.intent.action.MAIN
és az android.intent.category.LAUNCHER
fő tevékenységet, így nem jelenik meg ikon a kezdőképernyőn, ezáltal teljesen láthatatlan. Ehelyett egy olyan szolgáltatást exportál, amelyhez más alkalmazások csatlakozhatnak, és amelyhez a letöltő csatlakozik, amikor a PixPirate malware-t akarja elindítani.
A droppee szolgáltatás létrehozása után a droppee APK elindul és megkezdi működését.
Még ha az áldozat el is távolítja a letöltő alkalmazást a készülékről, a PixPirate továbbra is elindulhat a különböző készülékesemények alapján, és elrejtheti létezését a felhasználó elől.
A rosszindulatú szoftver csalárd tranzakciók elfogásával vagy kezdeményezésével próbál pénzt átirányítani a támadókhoz.
A PixPirate RAT képességei lehetővé teszik, hogy automatizálja a teljes csalási folyamatot, a felhasználói hitelesítő adatok és a kétfaktoros hitelesítési kódok rögzítésétől a jogosulatlan pénzátutalások végrehajtásáig, mindezt a háttérben, a felhasználók tudta nélkül. Ehhez azonban hozzáférési szolgáltatás engedélyek szükségesek.
Van egy tartalék kézi vezérlési mechanizmus is arra az esetre, ha az automatizált módszerek kudarcot vallanak, ami a támadóknak egy másik csatornát biztosít az eszközön belüli csalások végrehajtásához. Továbbá a kártevő képes arra, hogy letiltsa a Google Play Protectet, az Android egyik alapvető biztonsági funkcióját.
Bár a PixPirate fertőzési módszere nem újszerű, és könnyen orvosolható az APK letöltések elkerülésével, az ikon használatának mellőzése és a rendszereseményekhez kötött szolgáltatások regisztrálása riasztó, új stratégia.