TrickMo: malware ruba PIN Android con false schermata di blocco

Gli analisti della società di sicurezza Zimperium hanno identificato quaranta nuove varianti del trojan bancario Android TrickMo. Queste erano collegate a 16 dropper e 22 infrastrutture di comando e controllo (C2), con nuove funzionalità progettate per rubare i PIN Android. Il report di Zimperium arriva dopo la segnalazione precedente di Cleafy che ha esaminato alcune delle varianti attualmente in circolazione. TrickMo è stato documentato per la prima volta da IBM X-Force nel 2020, ma si pensa che sia stato utilizzato in attacchi contro gli utenti Android almeno da settembre 2019. Le caratteristiche della nuova versione di TrickMo includono l'intercettazione della password OTP, la registrazione dello schermo, l'esfiltrazione dei dati, il controllo remoto e altro ancora. Come trojan bancario, fornisce agli utenti sovrapposizioni di schermate di accesso di phishing a varie banche e istituti finanziari. Ciò consente agli aggressori di rubare password ed eseguire transazioni non autorizzate.

Gli analisti di Zimperium che analizzano queste nuove varianti segnalano anche una nuova schermata di sblocco ingannevole che imita la vera richiesta di sblocco di Android. Naturalmente, questa è progettata per rubare la sequenza di sblocco o il PIN dell'utente. Come spiegato dagli analisti: "L'interfaccia utente ingannevole è una pagina HTML ospitata su un sito web esterno. Viene visualizzata in modalità a schermo intero sul dispositivo, facendola sembrare una schermata legittima. Quando l'utente inserisce la sequenza di sblocco o il PIN, la pagina trasmette i dettagli del PIN o della sequenza acquisiti, insieme a un identificatore univoco del dispositivo (l'ID Android) a uno script PHP". Il furto del PIN consente agli aggressori di sbloccare il dispositivo quando non è attivamente monitorato, magari nelle ore notturne, per commettere frodi sul dispositivo.

TrickMo: più di 13.000 vittime accertate

A causa di un'infrastruttura C2 non protetta in modo appropriato, Zimperium è stata anche in grado di determinare che almeno 13.000 vittime. La maggior parte di queste si trovano in Canada e un numero significativo si trova anche negli Emirati Arabi Uniti, in Turchia e in Germania. Questo numero corrisponde a "diversi server C2", secondo Zimperium, quindi il numero totale di vittime di TrickMo è probabilmente più alto. Oltre alle app bancarie, TrickMo colpirebbe anche altri tipi di app (e account). Queste includono VPN, piattaforme di streaming, piattaforme di e-commerce, trading, social media, reclutamento e piattaforme aziendali. Cleafy in precedenza aveva nascosto al pubblico gli indicatori di compromissione a causa dell'infrastruttura C2 non configurata correttamente che avrebbe potuto esporre i dati delle vittime alla più ampia comunità di criminali informatici. Tuttavia, Zimperium ha ora scelto di pubblicare tutto su questo repository GitHub.

TrickMo si sta attualmente diffondendo tramite phishing. Per ridurre al minimo la probabilità di infezione, è consigliato evitare di scaricare APK da URL inviati tramite SMS o messaggi diretti da persone che non si conoscono. Google Play Protect identifica e blocca le varianti note di TrickMo, quindi assicurarsi che sia attivo sul dispositivo è fondamentale per difendersi dal malware.