Foram identificadas novas variantes de um trojan bancário para Android chamado TrickMo, que contêm funcionalidades até então não documentadas capazes de roubar o padrão de desbloqueio ou PIN do aparelho.
"Essa nova adição permite que o ator de ameaças opere no dispositivo mesmo quando ele está bloqueado", afirmou o pesquisador de segurança da Zimperium, Aazim Yaswant, em uma análise publicada na última semana.
Identificado pela primeira vez em ambiente real em 2019, o TrickMo foi assim denominado por suas associações com o grupo de cibercrime TrickBot, sendo capaz de conceder controle remoto sobre dispositivos infectados, além de roubar senhas de uso único baseadas em SMS (OTPs) e exibir telas de sobreposição para capturar credenciais ao abusar dos serviços de acessibilidade do Android.
No mês passado, a empresa italiana de cibersegurança Cleafy divulgou versões atualizadas do malware móvel com mecanismos aprimorados para evadir análises e conceder a si mesmo permissões adicionais para realizar várias ações maliciosas no dispositivo, incluindo a realização de transações não autorizadas.
Algumas das novas variantes do malware também foram equipadas para colher o padrão de desbloqueio ou PIN do dispositivo, apresentando à vítima uma Interface do Usuário (UI) enganosa que imita a tela de desbloqueio real do aparelho.
A UI é uma página HTML hospedada em um site externo e exibida em modo tela cheia, dando assim a impressão de que se trata de uma tela de desbloqueio legítima.
Caso usuários desavisados insiram seu padrão de desbloqueio ou PIN, a informação, juntamente com um identificador único do dispositivo, é transmitida para um servidor controlado pelo atacante ("android.ipgeo[.]at") na forma de uma requisição HTTP POST.
A Zimperium afirmou que a falta de proteções de segurança adequadas para os servidores C2 tornou possível obter insights sobre os tipos de dados armazenados neles.
Isso inclui arquivos com aproximadamente 13.000 endereços IP únicos, a maioria geolocalizada no Canadá, nos E.A.U., na Turquia e na Alemanha.
"Essas credenciais roubadas não se limitam apenas a informações bancárias, mas também abrangem aquelas usadas para acessar recursos corporativos, como VPNs e websites internos", disse Yaswant.
Isso sublinha a importância crítica de proteger dispositivos móveis, pois eles podem servir como um ponto de entrada principal para ciberataques às organizações.
Outro aspecto notável é o amplo direcionamento do TrickMo, que coleta dados de aplicativos de várias categorias, como bancos, empresas, emprego e recrutamento, e-commerce, trading, mídias sociais, streaming e entretenimento, VPN, governo, educação, telecomunicações e saúde.
O desenvolvimento acontece em meio ao surgimento de uma nova campanha do trojan bancário Android ErrorFather, que emprega uma variante do Cerberus para realizar fraudes financeiras.
"A emergência do ErrorFather destaca o perigo persistente do malware reaproveitado, à medida que os cibercriminosos continuam a explorar o código-fonte vazado anos após o malware Cerberus original ter sido descoberto", disse a Symantec, de propriedade da Broadcom.
Segundo dados da Zscaler ThreatLabz, ataques móveis motivados financeiramente envolvendo malware bancário tiveram um aumento de 29% no período de junho de 2023 a abril de 2024, em comparação com o ano anterior.
A Índia foi o principal alvo desses ataques móveis durante o período, experienciando 28% de todos os ataques, seguida pelos EUA, Canadá, África do Sul, Países Baixos, México, Brasil, Nigéria, Cingapura e Filipinas.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...