Descobriu-se que novas variantes de um trojan bancário Android chamado TrickMo abrigam recursos anteriormente não documentados para roubar o padrão de desbloqueio ou PIN de um dispositivo.
“Esta nova adição permite que o agente da ameaça opere no dispositivo mesmo quando ele está bloqueado”, disse o pesquisador de segurança da Zimperium, Aazim Yaswant, em uma análise publicada na semana passada.
Visto pela primeira vez em 2019, o TrickMo é assim chamado por suas associações com o grupo de crimes cibernéticos TrickBot e é capaz de conceder controle remoto sobre dispositivos infectados, bem como roubar senhas de uso único (OTPs) baseadas em SMS e exibir telas de sobreposição para capturar credenciais abusando dos serviços de acessibilidade do Android.
No mês passado, a empresa italiana de segurança cibernética Cleafy divulgou versões atualizadas do malware móvel com mecanismos aprimorados para evitar análises e conceder permissões adicionais para realizar diversas ações maliciosas no dispositivo, incluindo a realização de transações não autorizadas.
Algumas das novas variantes do malware também foram equipadas para coletar o padrão ou PIN de desbloqueio do dispositivo, apresentando à vítima uma interface de usuário (IU) enganosa que imita a tela de desbloqueio actual do dispositivo.
A UI é uma página HTML hospedada em um website externo e exibida em modo de tela inteira, dando a impressão de que é uma tela de desbloqueio legítima.
Caso usuários desavisados insiram seu padrão de desbloqueio ou PIN, as informações, juntamente com um identificador exclusivo do dispositivo, são transmitidas para um servidor controlado pelo invasor (“android.ipgeo(.)at”) na forma de uma solicitação HTTP POST.
Zimperium disse que a falta de proteções de segurança adequadas para os servidores C2 tornou possível obter informações sobre os tipos de dados neles armazenados. Isso inclui arquivos com aproximadamente 13.000 endereços IP exclusivos, a maioria dos quais estão geolocalizados no Canadá, Emirados Árabes Unidos, Turquia e Alemanha.
“Essas credenciais roubadas não se limitam apenas às informações bancárias, mas também abrangem aquelas usadas para acessar recursos corporativos, como VPNs e websites internos”, disse Yaswant. “Isso ressalta a importância crítica da proteção dos dispositivos móveis, pois eles podem servir como principal ponto de entrada para ataques cibernéticos às organizações”.
Outro aspecto notável é o amplo direcionamento do TrickMo, coletando dados de aplicativos que abrangem diversas categorias, como bancos, empresas, empregos e recrutamento, comércio eletrônico, comércio, mídia social, streaming e entretenimento, VPN, governo, educação, telecomunicações e saúde. .
O desenvolvimento ocorre em meio ao surgimento de uma nova campanha de trojan bancário Android ErrorFather que emprega uma variante do Cerberus para conduzir fraudes financeiras.
“O surgimento do ErrorFather destaca o perigo persistente de malware reaproveitado, à medida que os cibercriminosos continuam a explorar o código-fonte vazado anos após a descoberta do malware Cerberus unique”, disse a Symantec, de propriedade da Broadcom.
De acordo com dados do Zscaler ThreatLabz, os ataques móveis com motivação financeira envolvendo malware bancário testemunharam um salto de 29% durante o período de junho de 2023 a abril de 2024, em comparação com o ano anterior.
A Índia surgiu como o principal alvo de ataques móveis durante o período, sofrendo 28% de todos os ataques, seguida pelos EUA, Canadá, África do Sul, Países Baixos, México, Brasil, Nigéria, Singapura e Filipinas.
