Trojan bancário captura PINs
16 de Outubro de 2024

Foram identificadas novas variantes de um trojan bancário para Android chamado TrickMo, que contêm funcionalidades até então não documentadas capazes de roubar o padrão de desbloqueio ou PIN do aparelho.

"Essa nova adição permite que o ator de ameaças opere no dispositivo mesmo quando ele está bloqueado", afirmou o pesquisador de segurança da Zimperium, Aazim Yaswant, em uma análise publicada na última semana.

Identificado pela primeira vez em ambiente real em 2019, o TrickMo foi assim denominado por suas associações com o grupo de cibercrime TrickBot, sendo capaz de conceder controle remoto sobre dispositivos infectados, além de roubar senhas de uso único baseadas em SMS (OTPs) e exibir telas de sobreposição para capturar credenciais ao abusar dos serviços de acessibilidade do Android.

No mês passado, a empresa italiana de cibersegurança Cleafy divulgou versões atualizadas do malware móvel com mecanismos aprimorados para evadir análises e conceder a si mesmo permissões adicionais para realizar várias ações maliciosas no dispositivo, incluindo a realização de transações não autorizadas.

Algumas das novas variantes do malware também foram equipadas para colher o padrão de desbloqueio ou PIN do dispositivo, apresentando à vítima uma Interface do Usuário (UI) enganosa que imita a tela de desbloqueio real do aparelho.

A UI é uma página HTML hospedada em um site externo e exibida em modo tela cheia, dando assim a impressão de que se trata de uma tela de desbloqueio legítima.

Caso usuários desavisados insiram seu padrão de desbloqueio ou PIN, a informação, juntamente com um identificador único do dispositivo, é transmitida para um servidor controlado pelo atacante ("android.ipgeo[.]at") na forma de uma requisição HTTP POST.

A Zimperium afirmou que a falta de proteções de segurança adequadas para os servidores C2 tornou possível obter insights sobre os tipos de dados armazenados neles.

Isso inclui arquivos com aproximadamente 13.000 endereços IP únicos, a maioria geolocalizada no Canadá, nos E.A.U., na Turquia e na Alemanha.

"Essas credenciais roubadas não se limitam apenas a informações bancárias, mas também abrangem aquelas usadas para acessar recursos corporativos, como VPNs e websites internos", disse Yaswant.

Isso sublinha a importância crítica de proteger dispositivos móveis, pois eles podem servir como um ponto de entrada principal para ciberataques às organizações.

Outro aspecto notável é o amplo direcionamento do TrickMo, que coleta dados de aplicativos de várias categorias, como bancos, empresas, emprego e recrutamento, e-commerce, trading, mídias sociais, streaming e entretenimento, VPN, governo, educação, telecomunicações e saúde.

O desenvolvimento acontece em meio ao surgimento de uma nova campanha do trojan bancário Android ErrorFather, que emprega uma variante do Cerberus para realizar fraudes financeiras.

"A emergência do ErrorFather destaca o perigo persistente do malware reaproveitado, à medida que os cibercriminosos continuam a explorar o código-fonte vazado anos após o malware Cerberus original ter sido descoberto", disse a Symantec, de propriedade da Broadcom.

Segundo dados da Zscaler ThreatLabz, ataques móveis motivados financeiramente envolvendo malware bancário tiveram um aumento de 29% no período de junho de 2023 a abril de 2024, em comparação com o ano anterior.

A Índia foi o principal alvo desses ataques móveis durante o período, experienciando 28% de todos os ataques, seguida pelos EUA, Canadá, África do Sul, Países Baixos, México, Brasil, Nigéria, Cingapura e Filipinas.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...