TrickMo: как потерять деньги, разблокировав смартфон
40 новых версий трояна с улучшенными функциями продолжают шествие по устройствам пользователей.
Компания Zimperium обнаружила 40 новых версий банковского трояна TrickMo, который получил функции для уклонения от обнаружения и незаметной кражи данных.
Несмотря на отсутствие официальных индикаторов компрометации (IoC), специалисты выявили 40 новых версий программы, включая 16 дропперов и 22 активных C2-сервера, а также дополнительные функциональные возможности. Анализ показал, что многие из образцов остаются незамеченными широкой публике.
Особенности вредоносного ПО:
- перехват одноразовых паролей (OTP);
- запись экрана;
- кража данных;
- удалённое управление;
- автоматическое предоставление разрешений и автоматическое нажатие на запросы;
- злоупотребление службами доступности;
- отображение оверлеев и кража учётных данных.
Такие функции позволяют вредоносному ПО получать доступ к любой информации на устройстве, что может привести к несанкционированному доступу к банковским счетам и совершению финансовых операций без ведома владельца устройства.
Кроме указанных возможностей, исследователи обнаружили новый механизм, позволяющий злоумышленникам красть графические ключи или PIN-коды устройства. Вредоносное ПО отображает поддельный интерфейс разблокировки, имитирующий настоящий экран устройства. Когда пользователь вводит графический ключ или PIN-код, эти данные вместе с идентификатором устройства передаются на удалённый сервер.
Фишинговый интерфейс представляет собой HTML-страницу, размещенную на внешнем веб-сайте и отображаемую в полноэкранном режиме на устройстве, что делает ее похожей на настоящий экран.
Во время анализа был получен доступ к нескольким C2-серверам, где были обнаружены файлы с данными о примерно 13 000 уникальных IP-адресах жертв TrickMo. Основными целями атак стали Канада, ОАЭ, Турция и Германия. Список IP-адресов регулярно обновляется, когда малварь похищает очередные учётные данные. Общее количество скомпрометированных устройств исчисляется миллионами, а объём похищенных данных включает не только банковскую информацию, но и данные для доступа к корпоративным ресурсам – VPN и внутренним сервисам.
В настоящее время TrickMo распространяется посредством фишинга, поэтому, чтобы свести к минимуму вероятность заражения, не загружайте APK-файлы по ссылкам, отправленных по SMS или в личных сообщениях незнакомыми вам людьми.