안드로이드용 PixPirate 뱅킹 트로이 목마의 최신 버전은 드로퍼 앱이 제거되어도 활성 상태를 유지하면서 전화기에 숨는 새로운 방법을 사용합니다. PixPirate는 지난달 Cleafy TIR 팀이 처음으로 문서화한 새로운 안드로이드 악성 코드로, 주로 라틴 아메리카 은행을 대상으로 합니다. 별도의 다운로더 앱이 이 악성 코드를 실행시키지만, 이 보고서에서는 그것의 혁신적인 은폐 또는 지속성 메커니즘에 대해 자세히 다루지 않았습니다.
IBM의 새로운 보고서에 따르면, PixPirate는 런처 아이콘을 사용하지 않아서, 안드로이드 버전 14까지의 최신 버전에서도 악성 코드를 숨길 수 있습니다. 그러나 아이콘을 전혀 사용하지 않으면 피해자가 악성 코드를 실행시킬 방법이 없어지는 실질적인 문제가 발생합니다. IBM Trusteer 연구원들은 새로운 PixPirate 버전이 두 가지 다른 앱을 사용하여 장치에서 정보를 훔치는 방법을 설명합니다.
첫 번째 앱은 '다운로더'로 알려져 있으며 WhatsApp이나 SMS로 전송되는 피싱 메시지를 통해 전파되는 APK(Android 패키지 파일)를 통해 배포됩니다. 이 다운로더 앱은 설치 시 접근성 서비스를 포함하여 위험한 권한에 대한 액세스를 요청한 후 암호화된 PixPirate 뱅킹 악성코드인 두 번째 앱('droppee')의 다운로드 및 설치를 진행합니다. 또한 피해자가 기기에서 다운로더 앱을 제거하더라도 PixPirate는 다양한 기기 이벤트를 기반으로 계속 실행되어 사용자에게 그 존재를 숨길 수 있습니다.
PixPirate는 브라질의 즉시 결제 플랫폼인 Pix를 대상으로 하여, 공격자에게 자금을 전달하려고 가로채거나 사기 거래를 시작하려고 합니다. IBM에 따르면, Pix는 브라질에서 매우 인기가 있으며, 1억 4천만 명 이상의 사람들이 이를 사용하여 2023년 3월까지 총 2500억 달러 이상의 거래를 진행했습니다.
요약
- 안드로이드용 PixPirate 뱅킹 트로이 목마의 최신 버전은 드로퍼 앱이 제거되어도 활성 상태를 유지하면서 전화기에 숨는 새로운 방법을 사용한다.
- PixPirate는 런처 아이콘을 사용하지 않아서, 안드로이드 버전 14까지의 최신 버전에서도 악성 코드를 숨길 수 있다.
- PixPirate는 브라질의 즉시 결제 플랫폼인 Pix를 대상으로 하여, 공격자에게 자금을 전달하려고 가로채거나 사기 거래를 시작하려고 한다.
- IBM에 따르면, Pix는 브라질에서 매우 인기가 있으며, 1억 4천만 명 이상의 사람들이 이를 사용하여 2023년 3월까지 총 2500억 달러 이상의 거래를 진행했다.
- IBM Trusteer 연구원들은 새로운 PixPirate 버전이 두 가지 다른 앱을 사용하여 장치에서 정보를 훔치는 방법을 설명한다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.