Zidentyfikowano czterdzieści nowych wariantów trojana bankowego TrickMo na Androida, powiązanych z 16 dropperami i 22 odrębnymi infrastrukturami Command & Control. Warianty występują z nowymi funkcjami, zaprojektowanymi do kradzieży kodów PIN Androida.
Powyższe dane pochodzą od Zimperium, a zebrano je po wcześniejszym raporcie Cleafy, który badał niektóre przebiegi złośliwego systemu TrickMo.
TrickMo został po raz pierwszy udokumentowany przez IBM X-Force w 2020 r., ale uważa się, iż był używany w atakach na użytkowników Androida co najmniej od września 2019.
Jak działa fałszowanie ekranu?
Główne funkcje nowej wersji TrickMo obejmują przechwytywanie jednorazowych haseł (OTP), nagrywanie ekranu, eksfiltrację danych czy zdalne sterowanie urządzeniem.
Złośliwe oprogramowanie próbuje nadużyć silnego uprawnienia usługi Accessibility Service, aby przyznać sobie dodatkowe uprawnienia i automatycznie klikać monity w razie potrzeby.
Jako trojan bankowy dostarcza użytkownikom nakładki ekranów logowania do różnych banków i instytucji finansowych, aby ukraść dane uwierzytelniające ich kont i umożliwić atakującym wykonywanie nieautoryzowanych transakcji.
Analitycy Zimperium sprawdzający nowe warianty informują również o zwodniczym ekranie odblokowania telefonu, imitującym prawdziwy monit odblokowania Androida, zaprojektowanym w celu kradzieży wzoru odblokowania lub kodu PIN użytkownika.
„Fałszywy interfejs użytkownika to strona HTML hostowana na zewnętrznej stronie internetowej i wyświetlana w trybie pełnoekranowym na urządzeniu, dzięki czemu wygląda jak legalny ekran” – wyjaśnia Zimperium.
Gdy użytkownik wprowadza swój „szlaczek” odblokowania lub kod PIN, strona przesyła przechwycone dane wraz z unikalnym identyfikatorem urządzenia (identyfikatorem Androida) do skryptu PHP.
Kradzież kodu PIN umożliwia atakującym odblokowanie urządzenia poprzez C&C, gdy nie jest ono aktywnie monitorowane, prawdopodobnie w późnych godzinach nocnych, i dokonanie na nim nieautoryzowanych zmian.
Skala ataków
Ze względu na nieprawidłowo zabezpieczoną infrastrukturę C2 Zimperium było również w stanie ustalić, iż co najmniej 13 000 ofiar, z których większość znajduje się w Kanadzie, a znaczna liczba w Zjednoczonych Emiratach Arabskich, zostało zaatakowanych złośliwym oprogramowaniem. Liczba ta odpowiada tylko „kilku serwerom C2”, więc całkowita będzie na pewno większa.
„Nasza analiza wykazała, iż plik listy adresów IP jest regularnie aktualizowany, za każdym razem, gdy złośliwe oprogramowanie skutecznie wykrada dane uwierzytelniające”, wyjaśnia Zimperium. „Odkryliśmy miliony rekordów w tych plikach, co wskazuje na dużą liczbę naruszonych urządzeń i znaczną ilość poufnych danych uzyskanych przez Threat Actor”.
Cleafy nie podawał wcześniej do publicznej wiadomości wskaźników naruszeń z powodu nieprawidłowo skonfigurowanej infrastruktury C2, która mogłaby ujawnić dane ofiar szerszej społeczności cyberprzestępców. Zimperium zdecydowało się teraz opublikować wszystko.
TrickMo rozprzestrzenia się w tej chwili za pośrednictwem phishingu, więc aby zminimalizować prawdopodobieństwo infekcji, warto unikać pobierania plików APK z adresów URL wysyłanych za pośrednictwem wiadomości SMS lub wiadomości bezpośrednich na portalach społecznościowych.
Google Play Protect identyfikuje i blokuje znane warianty TrickMo, więc upewnienie się, iż funkcja ta jest aktywna na urządzeniu, ma najważniejsze znaczenie w obronie przed złośliwym oprogramowaniem tego typu.