Bylo zjištěno, že nové varianty bankovního trojského koně pro Android s názvem TrickMo v sobě skrývají dříve nedokumentované funkce, které umožňují krást odemykací vzor nebo PIN kód zařízení.

„Tento nový přírůstek umožňuje aktérovi hrozby pracovat na zařízení, i když je zamčené,“ uvedl v analýze zveřejněné bezpečnostní výzkumník společnosti Zimperium Aazim Yaswant.

Útok TrickMo, který byl poprvé spatřen v roce 2019, je tak pojmenován kvůli svým asociacím s kyberzločineckou skupinou TrickBot a je schopen poskytnout vzdálenou kontrolu nad infikovanými zařízeními, stejně jako krást jednorázová hesla (OTP) založená na SMS a zobrazovat překryvné obrazovky k získání přihlašovacích údajů zneužitím přístupových služeb systému Android.

Minulý měsíc italská společnost Cleafy, která se zabývá kybernetickou bezpečností, zveřejnila aktualizované verze mobilního malwaru s vylepšenými mechanismy, které umožňují vyhnout se analýze a udělit si další oprávnění k provádění různých škodlivých akcí na zařízení, včetně provádění neoprávněných transakcí.

Některé z nových variant malwaru byly také vybaveny tak, aby získaly odemykací vzor nebo kód PIN zařízení tím, že oběti předloží klamavé uživatelské rozhraní (UI), které napodobuje skutečnou odemykací obrazovku zařízení.

Uživatelské rozhraní je stránka HTML, která je umístěna na externí webové stránce a zobrazuje se v celoobrazovkovém režimu, čímž vyvolává dojem, že se jedná o legitimní odemykací obrazovku.

Pokud nic netušící uživatelé zadají svůj odemykací vzor nebo kód PIN, jsou tyto informace spolu s jedinečným identifikátorem zařízení přeneseny na útočníkem ovládaný server („android.ipgeo[.]at“) ve formě požadavku HTTP POST.

Společnost Zimperium uvedla, že nedostatečná bezpečnostní ochrana serverů C2 umožnila získat přehled o druzích údajů, které jsou na nich uloženy. Jedná se o soubory s přibližně 13 000 unikátními IP adresami, z nichž většina je geolokačně lokalizována do Kanady, USA, Turecka a Německa.

„Tyto ukradené přihlašovací údaje se neomezují pouze na bankovní informace, ale zahrnují také ty, které se používají k přístupu k podnikovým zdrojům, jako jsou VPN a interní webové stránky,“ uvedl Yaswant. „To podtrhuje zásadní význam ochrany mobilních zařízení, protože mohou sloužit jako primární vstupní bod pro kybernetické útoky na organizace.“

Dalším pozoruhodným aspektem je široké zacílení nástroje TrickMo, který shromažďuje data z aplikací zahrnujících několik kategorií, jako je bankovnictví, podniky, zaměstnání a nábor zaměstnanců, elektronické obchodování, obchodování, sociální média, streamování a zábava, VPN, státní správa, vzdělávání, telekomunikace a zdravotnictví.

Tento vývoj přichází v době, kdy se objevila nová kampaň bankovního trojského koně ErrorFather pro Android, která využívá variantu Cerberus k provádění finančních podvodů.

„Vznik ErrorFather poukazuje na přetrvávající nebezpečí repurpovatelného malwaru, protože kyberzločinci i po letech od objevení původního malwaru Cerberus nadále využívají uniklý zdrojový kód,“ uvedla společnost Symantec, kterou vlastní Broadcom.

Podle údajů společnosti Zscaler ThreatLabz zaznamenaly finančně motivované mobilní útoky zahrnující bankovní malware v období od června 2023 do dubna 2024 ve srovnání s předchozím rokem 29% nárůst.

Nejčastějším cílem mobilních útoků se v tomto období stala Indie, kde se odehrálo 28 % všech útoků, následovaná USA, Kanadou, Jihoafrickou republikou, Nizozemskem, Mexikem, Brazílií, Nigérií, Singapurem a Filipínami.

Zdroj: thehackernews.com