Quarenta novas variantes do TrickMo, um trojan bancário para Android, foram identificadas no ambiente online, vinculadas a 16 droppers e 22 infraestruturas de comando e controle (C2) distintas, com novos recursos projetados para roubar os PINs do Android.
Isso foi relatado pela Zimperium, após um relatório anterior da Cleafy que examinou algumas, mas não todas as variantes atualmente em circulação.
O TrickMo foi documentado pela primeira vez pela IBM X-Force em 2020, mas acredita-se que tenha sido utilizado em ataques contra usuários do Android desde pelo menos setembro de 2019.
Características-chave da nova versão do TrickMo incluem interceptação de senha de uso único (OTP), gravação de tela, exfiltração de dados, controle remoto e mais.
O malware tenta abusar da poderosa permissão do Accessibility Service para conceder a si mesmo permissões adicionais e tocar em prompts automaticamente conforme necessário.
Como um trojan bancário, ele apresenta aos usuários sobreposições de telas de login de phishing para diversos bancos e instituições financeiras para roubar suas credenciais de conta e permitir que os atacantes realizem transações não autorizadas.
Analistas da Zimperium, dissecando essas novas variantes, também relatam uma nova tela de desbloqueio enganosa, imitando o prompt de desbloqueio real do Android, projetada para roubar o padrão ou PIN de desbloqueio do usuário.
"A Interface de Usuário enganosa é uma página HTML hospedada em um site externo e é exibida em modo tela cheia no dispositivo, fazendo parecer uma tela legítima," explica a Zimperium.
Quando o usuário insere seu padrão de desbloqueio ou PIN, a página transmite os detalhes do PIN ou padrão capturados, junto com um identificador único do dispositivo (o ID do Android) para um script PHP.
Roubar o PIN permite que os atacantes desbloqueiem o dispositivo quando não está sendo ativamente monitorado, possivelmente em horas tardias, para realizar fraudes no dispositivo.
Devido à infraestrutura de C2 mal segura, a Zimperium também conseguiu determinar que pelo menos 13.000 vítimas, a maioria localizada no Canadá e números significativos também encontrados nos Emirados Árabes Unidos, Turquia e Alemanha, são impactadas por este malware.
Esse número corresponde a "vários servidores C2", de acordo com a Zimperium, portanto, o número total de vítimas do TrickMo provavelmente é maior.
"Nossa análise revelou que o arquivo da lista de IPs é regularmente atualizado sempre que o malware exfiltra com sucesso credenciais," explica a Zimperium.
Descobrimos milhões de registros dentro desses arquivos, indicando o extenso número de dispositivos comprometidos e a quantidade substancial de dados sensíveis acessados pelo Ator de Ameaças.
A Cleafy anteriormente reteve indicadores de comprometimento do público devido à infraestrutura C2 mal configurada que poderia expor dados das vítimas à comunidade cibercriminosa mais ampla.
A Zimperium agora optou por postar tudo neste repositório do GitHub.
No entanto, o alcance do alvo do TrickMo parece ser amplo o suficiente para englobar tipos de aplicativos (e contas) além de bancos, incluindo VPN, plataformas de streaming, plataformas de comércio eletrônico, trading, mídias sociais, recrutamento e plataformas empresariais.
A Cleafy havia anteriormente retido indicadores de comprometimento do público devido à infraestrutura C2 configurada incorretamente que poderia expor dados de vítimas à comunidade cibercriminosa mais ampla, mas a Zimperium agora optou por publicar tudo neste repositório GitHub.
O TrickMo está atualmente se espalhando por meio de phishing; portanto, para minimizar a probabilidade de infecção, evite baixar APKs de URLs enviadas via SMS ou mensagens diretas por pessoas desconhecidas.
O Google Play Protect identifica e bloqueia variantes conhecidas do TrickMo, então garantir que ele esteja ativo no dispositivo é crucial para defender contra o malware.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...