Laukinėje gamtoje buvo identifikuota 40 naujų TrickMo Android bankininkystės Trojos arklys variantų, susietų su 16 lašintuvų ir 22 skirtingomis komandų ir valdymo (C2) infrastruktūromis su naujomis funkcijomis, skirtomis pavogti Android PIN kodus.
Tai pranešė Zimperium, remdamasi ankstesne Cleafy ataskaita, kurioje buvo nagrinėjami kai kurie, bet ne visi šiuo metu apyvartoje esantys variantai.
„TrickMo“ pirmą kartą dokumentavo IBM X-Force 2020 m., tačiau manoma, kad jis buvo naudojamas atakoms prieš „Android“ vartotojus mažiausiai nuo 2019 m. rugsėjo mėn.
Netikras užrakinimo ekranas pavagia „Android“ PIN kodus
Pagrindinės naujosios „TrickMo“ versijos funkcijos yra vienkartinio slaptažodžio (OTP) perėmimas, ekrano įrašymas, duomenų išfiltravimas, nuotolinis valdymas ir kt.
Kenkėjiška programa bando piktnaudžiauti galingu pritaikymo neįgaliesiems tarnybos leidimu, kad suteiktų sau papildomų leidimų ir prireikus automatiškai bakstelėtų raginimus.
Kaip bankininkystės Trojos arklys, jis teikia naudotojams sukčiavimo prisijungimo ekranus įvairiems bankams ir finansų institutams, kad pavogtų jų paskyros kredencialus ir leistų užpuolikams atlikti neteisėtas operacijas.
Šaltinis: Zimperium
Šiuos naujus variantus nagrinėjantys „Zimperium“ analitikai taip pat praneša apie naują apgaulingą atrakinimo ekraną, imituojantį tikrąjį „Android“ atrakinimo raginimą, skirtą pavogti vartotojo atrakinimo šabloną arba PIN kodą.
„Apgaulinga vartotojo sąsaja yra HTML puslapis, priglobtas išorinėje svetainėje ir įrenginyje rodomas viso ekrano režimu, todėl jis atrodo kaip teisėtas ekranas“, – aiškina Zimperium.
„Kai naudotojas įveda savo atrakinimo šabloną arba PIN kodą, puslapis perduoda užfiksuotą PIN kodą arba išsamią šablono informaciją kartu su unikaliu įrenginio identifikatoriumi („Android“ ID) į PHP scenarijų.
Šaltinis: Zimperium
Pavogę PIN kodą, užpuolikai gali atrakinti įrenginį, kai jis nėra aktyviai stebimas, galbūt vėlyvomis valandomis, kad galėtų sukčiauti įrenginyje.
Atidengtos aukos
Dėl netinkamai apsaugotos C2 infrastruktūros „Zimperium“ taip pat sugebėjo nustatyti, kad ši kenkėjiška programa paveikė mažiausiai 13 000 aukų, kurių dauguma yra Kanadoje, o nemaža dalis taip pat yra Jungtiniuose Arabų Emyratuose, Turkijoje ir Vokietijoje.
Šaltinis: Zimperium
Pasak Zimperium, šis skaičius atitinka „kelis C2 serverius“, todėl bendras „TrickMo“ aukų skaičius greičiausiai yra didesnis.
„Mūsų analizė parodė, kad IP sąrašo failas reguliariai atnaujinamas, kai kenkėjiška programa sėkmingai išfiltruoja kredencialus“, – aiškina Zimperium.
„Šiuose failuose aptikome milijonus įrašų, nurodančių didelį pažeistų įrenginių skaičių ir didelį kiekį neskelbtinų duomenų, kuriuos pasiekė grėsmės veikėjas.
Dėl netinkamai sukonfigūruotos C2 infrastruktūros, dėl kurios aukų duomenys gali būti atskleisti platesnei elektroninių nusikaltimų bendruomenei, visuomenė anksčiau neslėpė informacijos apie kompromisą. „Zimperium“ dabar nusprendė paskelbti viską šioje „GitHub“ saugykloje.
Tačiau „TrickMo“ taikymo sritis atrodo pakankamai plati, kad apimtų programų tipus (ir paskyras), ne tik bankininkystę, įskaitant VPN, srautinio perdavimo platformas, el. prekybos platformas, prekybą, socialinę žiniasklaidą, įdarbinimo ir įmonių platformas.
„Cleafy“ anksčiau viešai neslėpė informacijos apie kompromisą dėl netinkamai sukonfigūruotos C2 infrastruktūros, kuri galėjo atskleisti aukų duomenis platesnei elektroninių nusikaltimų bendruomenei, tačiau „Zimperium“ dabar nusprendė paskelbti viską šioje „GitHub“ saugykloje.
Šiuo metu „TrickMo“ plinta per sukčiavimą, todėl norėdami sumažinti užsikrėtimo tikimybę, venkite atsisiųsti APK iš URL, siunčiamų SMS žinutėmis arba tiesioginėmis žinutėmis, kurias siunčia nepažįstami žmonės.
„Google Play Protect“ identifikuoja ir blokuoja žinomus „TrickMo“ variantus, todėl norint apsisaugoti nuo kenkėjiškų programų labai svarbu užtikrinti, kad jis būtų aktyvus įrenginyje.
