Menu dostępności

Malware TrickMo kradnie kody PIN do Androida

Malware TrickMo kradnie kody PIN do Androida, używając fałszywego ekranu blokady

Zidentyfikowano czterdzieści nowych wariantów trojana bankowego TrickMo na Androida, powiązanych z 16 dropperami i 22 odrębnymi infrastrukturami Command & Control. Warianty występują z nowymi funkcjami, zaprojektowanymi do kradzieży kodów PIN Androida.

Powyższe dane pochodzą od Zimperium, a zebrano je po wcześniejszym raporcie Cleafy, który badał niektóre przebiegi złośliwego oprogramowania TrickMo.

TrickMo został po raz pierwszy udokumentowany przez IBM X-Force w 2020 r., ale uważa się, że był używany w atakach na użytkowników Androida co najmniej od września 2019.

Jak działa fałszowanie ekranu?

Główne funkcje nowej wersji TrickMo obejmują przechwytywanie jednorazowych haseł (OTP), nagrywanie ekranu, eksfiltrację danych czy zdalne sterowanie urządzeniem.

Złośliwe oprogramowanie próbuje nadużyć silnego uprawnienia usługi Accessibility Service, aby przyznać sobie dodatkowe uprawnienia i automatycznie klikać monity w razie potrzeby.

Jako trojan bankowy dostarcza użytkownikom nakładki ekranów logowania do różnych banków i instytucji finansowych, aby ukraść dane uwierzytelniające ich kont i umożliwić atakującym wykonywanie nieautoryzowanych transakcji.

Analitycy Zimperium sprawdzający nowe warianty informują również o zwodniczym ekranie odblokowania telefonu, imitującym prawdziwy monit odblokowania Androida, zaprojektowanym w celu kradzieży wzoru odblokowania lub kodu PIN użytkownika.

„Fałszywy interfejs użytkownika to strona HTML hostowana na zewnętrznej stronie internetowej i wyświetlana w trybie pełnoekranowym na urządzeniu, dzięki czemu wygląda jak legalny ekran” – wyjaśnia Zimperium.

Gdy użytkownik wprowadza swój „szlaczek” odblokowania lub kod PIN, strona przesyła przechwycone dane wraz z unikalnym identyfikatorem urządzenia (identyfikatorem Androida) do skryptu PHP.

Kradzież kodu PIN umożliwia atakującym odblokowanie urządzenia poprzez C&C, gdy nie jest ono aktywnie monitorowane, prawdopodobnie w późnych godzinach nocnych, i dokonanie na nim nieautoryzowanych zmian.

Skala ataków

Ze względu na nieprawidłowo zabezpieczoną infrastrukturę C2 Zimperium było również w stanie ustalić, że co najmniej 13 000 ofiar, z których większość znajduje się w Kanadzie, a znaczna liczba w Zjednoczonych Emiratach Arabskich, zostało zaatakowanych złośliwym oprogramowaniem. Liczba ta odpowiada tylko „kilku serwerom C2”, więc całkowita będzie na pewno większa.

„Nasza analiza wykazała, że ​​plik listy adresów IP jest regularnie aktualizowany, za każdym razem, gdy złośliwe oprogramowanie skutecznie wykrada dane uwierzytelniające”, wyjaśnia Zimperium. „Odkryliśmy miliony rekordów w tych plikach, co wskazuje na dużą liczbę naruszonych urządzeń i znaczną ilość poufnych danych uzyskanych przez Threat Actor”.

Cleafy nie podawał wcześniej do publicznej wiadomości wskaźników naruszeń z powodu nieprawidłowo skonfigurowanej infrastruktury C2, która mogłaby ujawnić dane ofiar szerszej społeczności cyberprzestępców. Zimperium zdecydowało się teraz opublikować wszystko.

TrickMo rozprzestrzenia się obecnie za pośrednictwem phishingu, więc aby zminimalizować prawdopodobieństwo infekcji, warto unikać pobierania plików APK z adresów URL wysyłanych za pośrednictwem wiadomości SMS lub wiadomości bezpośrednich na portalach społecznościowych.

Google Play Protect identyfikuje i blokuje znane warianty TrickMo, więc upewnienie się, że funkcja ta jest aktywna na urządzeniu, ma kluczowe znaczenie w obronie przed złośliwym oprogramowaniem tego typu.

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...