Bankowość internetowa czy mobilna jest dziś dla nas codziennością. Nie obawiamy się o jej bezpieczeństwo. Banki wymuszają na użytkownikach podwójnego, a czasem nawet potrójnego uwierzytelnienia do przeprowadzania większości operacji.
Z drugiej jednak strony cały czas słyszy się o fraudach i przekrętach bankowych, w których pewnie większość zrealizowana zostaje dzięki dobrze poprowadzonej socjotechnice. Jak się okazuje i bez bezczelnego nakłaniania użytkownika do kliknięcia w link, da się oszukać zabezpieczenia bankowe, takie jak kod weryfikacyjny SMS czy jednorazowe hasła (tzw. OTP).
Cyberprzestępcy od niedawna wykorzystują do tego nową, złośliwą aplikację na urządzenia mobilne nazwaną przez odkrywców z IBM – TrickMo. Za stworzenie aplikacji odpowiada ta sama grupa stojąca za najpopularniejszym w 2019 roku trojanem bankowym TrickBot. Wynika to między innymi z faktu, że prawie wszystkie osoby, których telefon został zainfekowany nową aplikacją, miały wcześniej zainfekowany komputer złośliwym oprogramowaniem TrickBot. Badacze i odkrywcy złośliwej aplikacji to grupa X-Force z IBM. Podają oni, że największe żniwa malware od początku zbiera w Niemczech.
Komputery z systemem Windows zainfekowane przez TrickBot wykorzystywały technikę Man-in-the-Browser, aby wyłudzić od użytkowników numery telefonów, a następnie nakłonić ich do zainstalowania aplikacji TrickMo. Jest to najczęstszy powód instalowania złośliwej aplikacji. Oczywiście istnieje wiele innych, jak podszywanie się aplikacji pod sprawdzonego antywirusa na urządzenia mobilne.
Jeśli chodzi o możliwości wirusa, to jest on w stanie skutecznie oszukać zabezpieczenia poświadczania transakcji bankowych (tzw. TAN) takie jak jednorazowe hasła SMS czy kody TAN odświeżane co 60 sekund.
Malware wykorzystuje do tego wbudowany w urządzenia mobilne feature do nagrywania ekranu. Gdy użytkownik wyświetla kod, aby przepisać go do przeglądarki na komputerze, w tym czasie TrickMo uruchamia w tle przechwytywanie ekranu i rejestruje jego zawartość do swojej pamięci. Następnie z obrazu wyciągany jest tekst, który aplikacja od razu przesyła do serwera C2. Całe to działanie może być zintegrowane z trojanem TrickBot zainstalowanym na komputerze tego samego użytkownika.
Złośliwa aplikacja wyposażona jest w wiele dodatkowych funkcji – jak podaje IBM X-Force. Oprócz wspomnianej podstawowej może eksfiltrować SMSy, zdjęcia, dane o urządzeniu. Dodatkowo sterowanie zdalne z serwera Command & Control pozwala na włączanie i wyłączanie modułów wirusa, a także co ciekawe wywołanie jego autodestrukcji. Po takim działaniu malware nie pozostawia śladu w zainfekowanym środowisku.
Podsumowując, trojan TrickBot był jedną z najbardziej aktywnych i skutecznych odmian szkodliwego oprogramowania w 2019 roku. Z analizy specjalistów wynika, że aplikacja mobilna TrickMo została zaprojektowana tak, aby pomóc w przełamaniu najnowszych metod uwierzytelniania opartego na TAN. Bezpieczeństwo mobilne wciąż jest w powijakach, dlatego ostrzegamy, aby nie instalować aplikacji, którego pochodzenia i przeznaczenia nie jesteśmy w stu procentach pewni.