PixPirate Zararlı Yazılımı, Kullanıcıları Kandırmak ve Finansal Verileri Çalmak için WhatsApp’ı Kullanıyor

PixPirate zararlı yazılımı, WhatsApp üzerinden yayılarak, Brezilya, Hindistan, İtalya ve Meksika’daki finansal uygulamaları hedef alıyor, veri çalıyor ve gizli kalıyor.

PixPirate adı verilen yeni bir malware dalgası hızla yayılıyor, öncelikli olarak Brezilya ve Hindistan’daki bankacılık kullanıcılarını hedef alıyor, kapsama alanı İtalya ve Meksika’ya kadar genişliyor.

Trusteer Lab’dan güvenlik araştırmacıları, bu tehdidi belirlemiş ve kullanıcıları yasal finansal araçlar gibi görünen kötü amaçlı uygulamaları indirmeye kandıran sofistike tekniklerini öne çıkarmışlardır. Bu durum, Security Intelligence tarafından bildirilmiştir.

PixPirate, iki ana bileşenden oluşur: bir indirici ve bir dropper (droppee olarak adlandırılır). İndirici, banka hesaplarını korumak için tasarlanmış bir kimlik doğrulama uygulaması gibi görünür. Bir kez yüklendiğinde, sadece kötü amaçlı dropper’ı çalıştırmakla kalmaz, aynı zamanda işlemlerini aktif olarak yönetir, finansal dolandırıcılığı mümkün kılar.

Bu uygulama, Google Play Store gibi resmi platformlarda mevcut değildir. Bunun yerine, enfekte olmuş kullanıcılardan gelen SMS (smishing olarak bilinir) veya WhatsApp spam mesajları aracılığıyla yayılır.

Downloader yüklendiğinde, kullanıcıları bir “güncelleme”nin gerekli olduğunu iddia ederek izin verme konusunda kandırır. Gerçekte, bu işlem mağdurun cihazına dropper malware’ı yükler. Dropper, ana ekranda hiçbir simge gösterilmeden gizli kalır, bu da kullanıcılar için tespitini zorlaştırır.

Öncelikle Brezilya’da tespit edilen PixPirate, genellikle Brezilya bankacılık uygulamalarında yaygın olarak kullanılan ülkenin Pix ödeme sistemini hedef alır. Trusteer Lab’ın raporlarına göre enfeksiyonların yaklaşık %70’i Brezilya’da gerçekleşmiştir.

Ancak, vakaların %20’si Hindistan’da tespit edilmiştir. Burada malware, milyonlarca kullanıcı için anında ödemeleri kolaylaştıran ülkenin United Payments Interface (UPI) platformunu hedeflemeye hazırlanıyor gibi görünmektedir.

Enfeksiyonlar ayrıca İtalya ve Meksika’da da ortaya çıkmaya başlamıştır, bu da saldırganların operasyonlarını küresel olarak genişletmeyi hedeflediğini göstermektedir. Zararlı yazılımın geliştiricileri, izinlerin verilmesi konusunda kurbanları yönlendirmek için eğitici YouTube videoları gibi araçlar kullanıyor, bu da yayılmasına yardımcı oluyor.

PixPirate’ın benzersiz bir özelliği, enfekte cihazlardan phishing mesajları göndermek için WhatsApp ile entegrasyonudur. Kurbanların iletişim listelerine erişerek, güvendiği kaynaklardan gelmiş gibi görünen mesajlar göndererek kendisini yayıyor, alıcının güvenlik duygusunu sömürüyor.

Bu aktivite sırasında, PixPirate, işlemlerini kullanıcıdan saklamak için bir örtü kullanır, böylece mağdurun haberi olmaz. Security Intelligence, PixPirate’ın uzaktan erişim, SMS engelleme ve anti-kaldırma yetenekleri de dahil olmak üzere sofistike yöntemler kullandığını belirtiyor.

Hatta Android’in erişilebilirlik hizmetlerini kullanarak WhatsApp mesajları göndermek için düğmelere tıklama gibi insan etkileşimini taklit eder. Bu özellikler, zararlı yazılımın otomatik ve gizlice dolandırıcılık yapmasını sağlar.

PixPirate’ın yeniden ortaya çıkışı, dünya çapında mobil bankacılık platformlarını hedef alan siber suç operasyonlarının giderek artan sofistikasyonunu öne çıkarıyor. Kullanıcıların, bilinmeyen kaynaklardan uygulama indirmekten kaçınmaları, beklenmedik mesajları dikkatlice incelemeleri ve cihazlarını korumak için güçlü siber güvenlik önlemleri kullanmaları önerilmektedir.