Σαράντα νέες παραλλαγές του TrickMo Android banking trojan έχουν εντοπιστεί στη φύση, συνδεδεμένες με 16 droppers και 22 διακριτές υποδομές εντολών και ελέγχου (C2), με νέες δυνατότητες που έχουν σχεδιαστεί για την κλοπή PIN Android.
Αυτό αναφέρεται από το Zimperium, μετά από μια προηγούμενη αναφορά του Cleafy που εξέτασε ορισμένες, αλλά όχι όλες τις παραλλαγές που κυκλοφορούν αυτήν τη στιγμή.
Το TrickMo τεκμηριώθηκε για πρώτη φορά από την IBM X-Force το 2020, αλλά πιστεύεται ότι χρησιμοποιήθηκε σε επιθέσεις εναντίον χρηστών Android τουλάχιστον από τον Σεπτέμβριο του 2019.
Η ψεύτικη οθόνη κλειδώματος κλέβει τα PIN Android
Τα βασικά χαρακτηριστικά της νέας έκδοσης TrickMo περιλαμβάνουν υποκλοπή κωδικού πρόσβασης μίας χρήσης (OTP), εγγραφή οθόνης, εξαγωγή δεδομένων, τηλεχειριστήριο και άλλα.
Το κακόβουλο λογισμικό επιχειρεί να κάνει κατάχρηση της πανίσχυρης άδειας της Υπηρεσίας Προσβασιμότητας για να παραχωρήσει στον εαυτό του πρόσθετα δικαιώματα και να πατήσει αυτόματα σε προτροπές όπως απαιτείται.
Ως τραπεζικό trojan, εξυπηρετεί τους χρήστες επικαλύψεις οθονών σύνδεσης phishing σε διάφορες τράπεζες και χρηματοπιστωτικά ιδρύματα για να κλέψουν τα διαπιστευτήρια του λογαριασμού τους και να επιτρέψουν στους εισβολείς να εκτελούν μη εξουσιοδοτημένες συναλλαγές.
Πηγή: Zimperium
Οι αναλυτές του Zimperium που αναλύουν αυτές τις νέες παραλλαγές αναφέρουν επίσης μια νέα παραπλανητική οθόνη ξεκλειδώματος που μιμείται την πραγματική προτροπή ξεκλειδώματος Android, σχεδιασμένη να κλέβει το μοτίβο ξεκλειδώματος ή το PIN του χρήστη.
“Η παραπλανητική διεπαφή χρήστη είναι μια σελίδα HTML που φιλοξενείται σε έναν εξωτερικό ιστότοπο και εμφανίζεται σε λειτουργία πλήρους οθόνης στη συσκευή, κάνοντάς την να μοιάζει με νόμιμη οθόνη.” εξηγεί το Zimperium.
“Όταν ο χρήστης εισάγει το μοτίβο ξεκλειδώματος ή το PIN του, η σελίδα μεταδίδει το καταγεγραμμένο PIN ή τις λεπτομέρειες του μοτίβου, μαζί με ένα μοναδικό αναγνωριστικό συσκευής (το αναγνωριστικό Android) σε ένα σενάριο PHP.”
Πηγή: Zimperium
Η κλοπή του PIN επιτρέπει στους εισβολείς να ξεκλειδώσουν τη συσκευή όταν δεν παρακολουθείται ενεργά, πιθανώς αργά, για να πραγματοποιήσουν απάτη στη συσκευή.
Εκτεθειμένα θύματα
Λόγω της ακατάλληλης ασφάλειας υποδομής C2, το Zimperium μπόρεσε επίσης να προσδιορίσει ότι τουλάχιστον 13.000 θύματα, τα περισσότερα από τα οποία βρίσκονται στον Καναδά και σημαντικός αριθμός βρίσκονται επίσης στα Ηνωμένα Αραβικά Εμιράτα, την Τουρκία και τη Γερμανία, επηρεάζονται από αυτό το κακόβουλο λογισμικό.
Πηγή: Zimperium
Αυτός ο αριθμός αντιστοιχεί σε “αρκετούς διακομιστές C2”, σύμφωνα με το Zimperium, επομένως ο συνολικός αριθμός των θυμάτων του TrickMo είναι πιθανότατα υψηλότερος.
«Η ανάλυσή μας αποκάλυψε ότι το αρχείο της λίστας IP ενημερώνεται τακτικά κάθε φορά που το κακόβουλο λογισμικό διεισδύει επιτυχώς τα διαπιστευτήρια», εξηγεί το Zimperium.
«Ανακαλύψαμε εκατομμύρια εγγραφές μέσα σε αυτά τα αρχεία, υποδεικνύοντας τον εκτεταμένο αριθμό των παραβιασμένων συσκευών και τον σημαντικό όγκο ευαίσθητων δεδομένων στα οποία έχει πρόσβαση ο Threat Actor».
Σαφείς δείκτες συμβιβασμού που αποκρύπτονταν στο παρελθόν από το κοινό λόγω της εσφαλμένης διαμόρφωσης υποδομής C2 που θα μπορούσε να εκθέσει τα δεδομένα των θυμάτων στην ευρύτερη κοινότητα του εγκλήματος στον κυβερνοχώρο. Το Zimperium έχει πλέον επιλέξει να δημοσιεύει τα πάντα σε αυτό Αποθετήριο GitHub.
Ωστόσο, το εύρος στόχευσης του TrickMo φαίνεται αρκετά ευρύ ώστε να περιλαμβάνει τύπους εφαρμογών (και λογαριασμούς) πέρα από τον τραπεζικό τομέα, συμπεριλαμβανομένων των VPN, των πλατφορμών ροής, των πλατφορμών ηλεκτρονικού εμπορίου, των συναλλαγών, των μέσων κοινωνικής δικτύωσης, των πλατφορμών προσλήψεων και επιχειρήσεων.
Το Cleafy προηγουμένως απέκρυψε δείκτες συμβιβασμού από το κοινό λόγω της εσφαλμένης διαμόρφωσης υποδομής C2 που θα μπορούσε να εκθέσει τα δεδομένα των θυμάτων στην ευρύτερη κοινότητα του εγκλήματος στον κυβερνοχώρο, αλλά το Zimperium επέλεξε τώρα να δημοσιεύσει τα πάντα σε αυτό Αποθετήριο GitHub.
Το TrickMo αυτή τη στιγμή εξαπλώνεται μέσω phishing, επομένως για να ελαχιστοποιήσετε την πιθανότητα μόλυνσης, αποφύγετε τη λήψη APK από διευθύνσεις URL που αποστέλλονται μέσω SMS ή απευθείας μηνύματα από άτομα που δεν γνωρίζετε.
Το Google Play Protect εντοπίζει και αποκλείει γνωστές παραλλαγές του TrickMo, επομένως η διασφάλιση ότι είναι ενεργή στη συσκευή είναι ζωτικής σημασίας για την άμυνα έναντι του κακόβουλου λογισμικού.
VIA: bleepingcomputer.com
