Złośliwa aplikacja na telefon oszukuje zabezpieczenia 2FA w bankowości
Bankowość internetowa czy mobilna jest dziś dla nas codziennością. Nie obawiamy się o jej bezpieczeństwo. Banki wymuszają na użytkownikach podwójnego, a czasem nawet potrójnego uwierzytelnienia do przeprowadzania większości operacji.
Z drugiej jednak strony cały czas słyszy się o fraudach i przekrętach bankowych, w których pewnie większość zrealizowana zostaje dzięki dobrze poprowadzonej socjotechnice. Jak się okazuje i bez bezczelnego nakłaniania użytkownika do kliknięcia w link, da się oszukać zabezpieczenia bankowe, takie jak kod weryfikacyjny SMS czy jednorazowe hasła (tzw. OTP).
Cyberprzestępcy od niedawna wykorzystują do tego nową, złośliwą aplikację na urządzenia mobilne nazwaną przez odkrywców z IBM – TrickMo. Za stworzenie aplikacji odpowiada ta sama grupa stojąca za najpopularniejszym w 2019 roku trojanem bankowym TrickBot. Wynika to między innymi z faktu, że prawie wszystkie osoby, których telefon został zainfekowany nową aplikacją, miały wcześniej zainfekowany komputer złośliwym oprogramowaniem TrickBot. Badacze i odkrywcy złośliwej aplikacji to grupa X-Force z IBM. Podają oni, że największe żniwa malware od początku zbiera w Niemczech.
Komputery z systemem Windows zainfekowane przez TrickBot wykorzystywały technikę Man-in-the-Browser, aby wyłudzić od użytkowników numery telefonów, a następnie nakłonić ich do zainstalowania aplikacji TrickMo. Jest to najczęstszy powód instalowania złośliwej aplikacji. Oczywiście istnieje wiele innych, jak podszywanie się aplikacji pod sprawdzonego antywirusa na urządzenia mobilne.
Jeśli chodzi o możliwości wirusa, to jest on w stanie skutecznie oszukać zabezpieczenia poświadczania transakcji bankowych (tzw. TAN) takie jak jednorazowe hasła SMS czy kody TAN odświeżane co 60 sekund.
Malware wykorzystuje do tego wbudowany w urządzenia mobilne feature do nagrywania ekranu. Gdy użytkownik wyświetla kod, aby przepisać go do przeglądarki na komputerze, w tym czasie TrickMo uruchamia w tle przechwytywanie ekranu i rejestruje jego zawartość do swojej pamięci. Następnie z obrazu wyciągany jest tekst, który aplikacja od razu przesyła do serwera C2. Całe to działanie może być zintegrowane z trojanem TrickBot zainstalowanym na komputerze tego samego użytkownika.
Złośliwa aplikacja wyposażona jest w wiele dodatkowych funkcji – jak podaje IBM X-Force. Oprócz wspomnianej podstawowej może eksfiltrować SMSy, zdjęcia, dane o urządzeniu. Dodatkowo sterowanie zdalne z serwera Command & Control pozwala na włączanie i wyłączanie modułów wirusa, a także co ciekawe wywołanie jego autodestrukcji. Po takim działaniu malware nie pozostawia śladu w zainfekowanym środowisku.
Podsumowując, trojan TrickBot był jedną z najbardziej aktywnych i skutecznych odmian szkodliwego oprogramowania w 2019 roku. Z analizy specjalistów wynika, że aplikacja mobilna TrickMo została zaprojektowana tak, aby pomóc w przełamaniu najnowszych metod uwierzytelniania opartego na TAN. Bezpieczeństwo mobilne wciąż jest w powijakach, dlatego ostrzegamy, aby nie instalować aplikacji, którego pochodzenia i przeznaczenia nie jesteśmy w stu procentach pewni.
Popularne
Jak zmienić nieznane/zapomniane hasło Administratora na Windows?
Jak awaria Azure Front Door rzuciła cień na globalne usługi chmurowe
Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?
Czego nie mówi Broadcom? Luka w VMware jest banalna do wykorzystania i korzysta z niej co najmniej jedna grupa hakerska!
Uwaga, administratorzy oraz zespoły bezpieczeństwa Splunk! Sześć krytycznych luk w Splunk Enterprise – analiza i rekomendacje
