Nuevas variantes de un troyano bancario de Android llamado TrickMo albergan una funcionalidad previamente no documentada para robar el patrón de desbloqueo o PIN de un dispositivo.
“Esta nueva incorporación permite al actor malicioso operar en el dispositivo incluso cuando está bloqueado”, Aazim Yaswant, investigador de seguridad de Zimperium. dicho en un análisis publicado la semana pasada.
Visto por primera vez en la naturaleza en 2019, TrickMo debe su nombre a sus asociaciones con el grupo de delitos cibernéticos TrickBot y es capaz de otorgar control remoto sobre dispositivos infectados, así como robar contraseñas de un solo uso (OTP) a través de SMS y mostrar pantallas superpuestas para capturar. credenciales abusando de los servicios de accesibilidad de Android.
El mes pasado, la empresa italiana de ciberseguridad Cleafy reveló versiones actualizadas del malware móvil con mecanismos mejorados para evadir el análisis y otorgarse permisos adicionales para realizar diversas acciones maliciosas en el dispositivo, incluida la realización de transacciones no autorizadas.
Algunos de los nuevas variantes También se ha equipado malware para recopilar el patrón de desbloqueo o PIN del dispositivo presentando a la víctima una interfaz de usuario (UI) engañosa que imita la pantalla de desbloqueo real del dispositivo.
La interfaz de usuario es una página HTML alojada en un sitio web externo y se muestra en modo de pantalla completa, lo que hace que parezca una pantalla de desbloqueo legítima.
Si los usuarios desprevenidos ingresan su patrón de desbloqueo o PIN, la información, junto con un identificador único del dispositivo, se transmite a un servidor controlado por el atacante (“android.ipgeo[.]tiene“) en forma de HTTPPOST pedido.
Zimperium dijo que la falta de protecciones de seguridad adecuadas para los servidores C2 permitió conocer los tipos de datos almacenados allí. Esto incluye archivos que contienen aproximadamente 13.000 direcciones IP únicas, la mayoría de las cuales están geolocalizadas en Canadá, los Emiratos Árabes Unidos, Turquía y Alemania.
“Estas credenciales robadas no se limitan a la información bancaria, sino que también abarcan aquellas utilizadas para acceder a recursos corporativos como VPN y sitios web internos”, dijo Yaswant. “Esto resalta la importancia crítica de proteger los dispositivos móviles, ya que pueden servir como punto de entrada principal para los ciberataques contra las organizaciones. »
Otro aspecto notable es la amplia orientación de TrickMo, que recopila datos de aplicaciones que abarcan múltiples categorías, como banca, negocios, empleo y reclutamiento, comercio electrónico, redes sociales, transmisión y entretenimiento, VPN, gobierno, educación, telecomunicaciones y atención médica. .
Este desarrollo se produce en medio de la aparición de una nueva campaña del troyano bancario ErrorFather para Android que utiliza una variante de Cerberus para cometer fraude financiero.
“La aparición de ErrorFather resalta el peligro continuo del malware reutilizado, ya que los ciberdelincuentes continúan explotando el código fuente filtrado años después del descubrimiento del malware Cerberus original”, dijo Symantec, propiedad de Broadcom. dicho.
De acuerdo a datos Según Zscaler ThreatLabz, los ataques móviles con motivación financiera que involucran malware bancario experimentaron un aumento del 29% entre junio de 2023 y abril de 2024, en comparación con el año anterior.
India se convirtió en el principal objetivo de los ataques móviles durante este período, representando el 28% de todos los ataques, seguida de Estados Unidos, Canadá, Sudáfrica, Países Bajos, México, Brasil, Nigeria, Singapur y Filipinas.