Investigadores de ciberseguridad han descubierto una nueva variante de un troyano bancario de Android llamado TrickMo, que tiene nuevas funciones para evadir el escaneo y mostrar pantallas de inicio de sesión falsas para capturar las credenciales bancarias de las víctimas.
“Los mecanismos incluyen el uso de archivos ZIP con formato incorrecto en combinación con JSONPacker”, explican los investigadores de seguridad de Cleafy, Michele Roviello y Alessandro Strino. dicho“Además, la aplicación se instala mediante un cuentagotas que comparte los mismos mecanismos antiescaneo. »
“Estas funciones están diseñadas para evadir la detección y obstaculizar los esfuerzos de los profesionales de la ciberseguridad para analizar y mitigar el malware. »
TrickMo, detectado por primera vez por CERT-Bund en septiembre de 2019, tiene un historial de apuntar a dispositivos Android, particularmente usuarios en Alemania, para desviar contraseñas de un solo uso (OTP) y otros códigos de autenticación de dos factores (2FA) para facilitar el fraude financiero.
Se cree que el malware centrado en dispositivos móviles es obra de la ahora desaparecida banda cibercriminal TrickBot, que con el tiempo ha mejorado continuamente sus funciones de ofuscación y antianálisis para pasar desapercibida.
Las características notables incluyen su capacidad para registrar la actividad de la pantalla, registrar pulsaciones de teclas, recopilar fotos y mensajes SMS, controlar de forma remota el dispositivo infectado para realizar fraude de dispositivo (ODF) y abusar de la API de Servicios de Accesibilidad de Android para realizar ataques de superposición HTML y en el dispositivo. clics y gestos.
La aplicación de malware dropper descubierta por la empresa italiana de ciberseguridad se hace pasar por el navegador web Google Chrome que, cuando se inicia después de la instalación, solicita a la víctima que actualice los servicios de Google Play haciendo clic en el botón Confirmar.
Si el usuario actualiza, se descarga en el dispositivo un archivo APK que contiene la carga útil de TrickMo con el nombre “Servicios de Google”, después de lo cual se le solicita al usuario que habilite los servicios de accesibilidad para la nueva aplicación.
“Los servicios de accesibilidad están diseñados para ayudar a los usuarios con discapacidades proporcionándoles formas alternativas de interactuar con sus dispositivos”, explicaron los investigadores. “Sin embargo, cuando son explotados por aplicaciones maliciosas como TrickMo, estos servicios pueden otorgar un amplio control sobre el dispositivo. »
“Este permiso elevado permite a TrickMo realizar diversas acciones maliciosas, como interceptar mensajes SMS, administrar notificaciones para interceptar u ocultar códigos de autenticación y realizar ataques de superposición HTML para robar información de identificación del usuario. Además, el malware puede ignorar las protecciones del teclado y aceptar permisos automáticamente, lo que le permite integrarse perfectamente en las operaciones del dispositivo. »
Además, el abuso de los servicios de accesibilidad permite que el malware deshabilite funciones de seguridad cruciales y actualizaciones del sistema, otorgue permisos automáticamente a voluntad e impida que se desinstalen ciertas aplicaciones.
El análisis de Cleafy también reveló errores de configuración en el servidor de comando y control (C2) que permitía el acceso a 12 GB de datos confidenciales extraídos de los dispositivos, incluidas credenciales y fotografías, sin requerir ninguna autenticación.
El servidor C2 también aloja archivos HTML utilizados en ataques de superposición. Estos archivos contienen páginas de inicio de sesión falsas para varios servicios, incluidos bancos como ATB Mobile y Alpha Bank e intercambios de criptomonedas como Binance.
Esta violación de seguridad no solo pone de relieve la violación de la seguridad operativa (OPSEC) cometida por los actores de amenazas, sino que también pone los datos de las víctimas en riesgo de explotación por parte de otros actores de amenazas.
La gran cantidad de información expuesta por la infraestructura C2 de TrickMo podría explotarse para cometer robo de identidad, infiltrarse en varias cuentas en línea, realizar transferencias de fondos no autorizadas e incluso realizar compras fraudulentas. Peor aún, los atacantes podrían secuestrar cuentas y bloquear el acceso de las víctimas restableciendo sus contraseñas.
“Al utilizar información personal e imágenes, el atacante puede crear mensajes convincentes que engañen a las víctimas para que divulguen aún más información o lleven a cabo acciones maliciosas”, señalaron los investigadores.
“La explotación de datos personales tan completos genera daños financieros y de reputación inmediatos, así como consecuencias a largo plazo para las víctimas, lo que hace que la recuperación sea un proceso largo y complejo. »
Esta revelación se produce cuando Google cerró los agujeros de seguridad en torno a la descarga para permitir a los desarrolladores externos determinar si sus aplicaciones se descargan usando el API de integridad del juego y, de ser así, pedir a los usuarios que descarguen las aplicaciones de Google Play para seguir usándolas.