Descobriu-se que uma nova variante do trojan bancário Android, chamada TrickMo, possui recursos anteriormente não documentados para roubar o padrão ou PIN de desbloqueio de um dispositivo.
“Este novo componente permite que um agente malicioso use o dispositivo mesmo quando ele está bloqueado”, disse o pesquisador de segurança da Zimperium, Aazim Yaswant, em uma análise publicada na semana passada.
Visto pela primeira vez em 2019, o TrickMo recebeu o nome de suas associações com o grupo de crimes cibernéticos TrickBot e é capaz de fornecer controle remoto a dispositivos infectados, bem como roubar senhas de uso único (OTPs) baseadas em SMS e exibir telas de sobreposição de host. detalhes sobre o abuso dos recursos de acessibilidade do Android.
No mês passado, a empresa italiana de segurança cibernética Cleafy divulgou versões atualizadas de um programa de malware móvel com formas aprimoradas de escapar da análise e dar-lhe mais permissões para realizar várias ações maliciosas no dispositivo, incluindo a execução de operações não autorizadas.
Outra nova variante do malware também está equipada para coletar o padrão ou PIN de desbloqueio do dispositivo, apresentando à vítima uma interface de usuário enganosa que imita a tela de desbloqueio real do dispositivo.
A UI é uma página HTML hospedada em um site externo e exibida em modo de tela cheia, dando a impressão de que se trata da tela inicial oficial.
Quando usuários desavisados inserem seu padrão de desbloqueio ou PIN, as informações, juntamente com um identificador exclusivo do dispositivo, são transmitidas para um servidor controlado pelo invasor (“android.ipgeo[.]at”) na forma de uma solicitação HTTP POST.
A Zimperium disse que a falta de proteção adequada dos servidores do C2 tornou possível obter informações sobre os tipos de dados neles armazenados. Isso inclui arquivos com aproximadamente 13.000 endereços IP exclusivos, a maioria deles localizados no Canadá, Emirados Árabes Unidos, Turquia e Alemanha.
“Essas credenciais roubadas não se limitam às credenciais bancárias, mas também incluem aquelas usadas para acessar serviços corporativos, como VPNs e sites internos”, disse Yaswant. “Isso ressalta a importância crítica da proteção dos dispositivos móveis, pois eles podem servir como primeiro ponto de entrada para ataques cibernéticos às organizações”.
Outra característica notável é a ampla segmentação do TrickMo, coletando dados de aplicativos que abrangem diversas categorias, como bancos, negócios, emprego e recrutamento, comércio eletrônico, comércio, mídia social, transmissão e entretenimento, VPN, governo, educação, telecomunicações e saúde. .
O desenvolvimento ocorre em meio ao surgimento de uma nova campanha de trojan bancário Android ErrorFather que usa uma variante do Cerberus para cometer fraudes financeiras.
“O surgimento do ErrorFather destaca a vulnerabilidade contínua do malware, à medida que os cibercriminosos continuam a explorar o código-fonte vazado após a descoberta do malware Cerberus original”, disse a Symantec, de propriedade da Broadcom.
De acordo com dados do Zscaler ThreatLabz, os ataques móveis com motivação financeira envolvendo malware bancário tiveram um salto de 29% durante o período de junho de 2023 a abril de 2024, em comparação com o ano anterior.
A Índia destacou-se como líder em ataques móveis durante o período, sofrendo 28% de todos os ataques, seguida pelos EUA, Canadá, África do Sul, Países Baixos, México, Brasil, Nigéria, Singapura e Filipinas.
