Észrevétlenül lopja a banki adatokat a PixPirate mobilvírus

​A PixPirate androidos kártékony program egy új módszert vet be annak érdekében, hogy észrevétlenül tudja lopkodni a felhasználók pénzügyi adatait.
 

Hasonlóan a számítógépes vírusok jelentős részéhez, az Android kompatibilis kártékony alkalmazások is arra törekszenek, hogy minél kisebb feltűnést keltsenek a fertőzött okostelefonokon, táblagépeken. Ennek érdekében számos trükköt bevethetnek, amelyek közül a leggyakoribb, hogy nem hoznak létre ikonokat. Ennél azonban a PixPirate nevű mobilvírus többre is képes.
 
A PixPirate-re először a Cleafy TIR csapata figyelt fel a múlt hónapban. Akkor a biztonsági kutatók azt vették észre, hogy a károkozó előszeretettel lopkodja a dél-amerikai felhasználók pénzügyi adatait. Ugyanakkor a károkozó működésének részleteit nem hozták nyilvánosságra. Ellenben az IBM-mel, amely most alaposabb elemzéssel szolgált a nemkívánatos szerzeményről.
 
A PixPirate vizsgálata során arra derült fény, hogy a károkozó elsősorban adathalász célú SMS-ekben vagy azonnali üzenetküldőkkel (például WhatsApp-pal) küldött linkek révén terjed. Amennyiben a felhasználó egy ilyen hivatkozásra rábök, akkor egy APK-fájl töltődik le a számítógépére. Ez azonban még nem a károkozót tartalmazza, hanem egy olyan összetevőt, amely aztán letölti a PixPirate kódját. Emellett gondoskodik arról, hogy a kártevő a háttérben elinduljon. A fertőzési folyamat során a felhasználó számára több engedélykérés is megjelenik, amiket, ha megad, akkor a károkozót számos érzékeny művelet elvégzésére jogosítja fel. Emiatt a vírus alkalmassá válik banki adatok, hitelesítő információk, de még kétfaktoros azonosítók kiszivárogtatására is.
 
A PixPirate esetében sem jelenik meg alkalmazásikon a képernyőn (legalábbis Android 9 vagy ennél újabb operációs rendszerek esetén). Minden a háttérben történik a felhasználó tudta nélkül. A károkozót alapvetően a letöltőprogram indítja el, de egy szolgáltatás révén a PixPirate akkor is működőképes marad, ha a felhasználó törli a letöltőprogramot. Ennek oka, hogy a háttérben egy olyan szolgáltatás is létrejön a fertőzés közben, amely különféle rendszeresemények bekövetkeztekor (például a készülék újraindítása vagy a hálózati kapcsolatok váltása során) automatikusan aktiválja a vírust.
 
A PixPirate jelenleg továbbra is Dél-Amerikában hódít, de az általa alkalmazott módszerek könnyedén bekerülhetnek más régiókban is fertőző alkalmazásokba.
 
A Google vizsgálatai szerint a PixPirate a Google Play áruházban lévő alkalmazások egyikében sem volt ez ideáig kimutatható.
 
A PixPirate és a hasonló mobilvírusok elleni védekezés nagyon fontos eleme, hogy nem szabad ismeretlenektől érkező, gyanús üzenetekben lévő hivatkozásokra kattintani, és APK-állományokat letölteni. Főleg nem célszerű alkalmazásoknak indokolatlanul engedélyeket adni.