Pesquisadores de segurança cibernética descobriram uma nova variante de um trojan bancário para Android chamado TrickMo, que vem com novos recursos para escapar da análise e exibir telas de login falsas para capturar as credenciais bancárias das vítimas.
“Os mecanismos incluem o uso de arquivos ZIP malformados em combinação com JSONPacker”, disseram os pesquisadores de segurança da Cleafy Michele Roviello e Alessandro Strino. “Além disso, o aplicativo é instalado por meio de um aplicativo dropper que compartilha os mesmos mecanismos antianálise.”
“Esses recursos são projetados para evitar a detecção e dificultar os esforços dos profissionais de segurança cibernética para analisar e mitigar o malware.”
O TrickMo, descoberto pela primeira vez pelo CERT-Bund em setembro de 2019, tem um histórico de ataques a dispositivos Android, principalmente usuários na Alemanha, para desviar senhas de uso único (OTPs) e outros códigos de autenticação de dois fatores (2FA) para facilitar fraudes financeiras.
O malware focado em dispositivos móveis é considerado obra da extinta gangue de crimes eletrônicos TrickBot, que vem aprimorando continuamente seus recursos de ofuscação e antianálise ao longo do tempo para passar despercebida.
Entre os recursos, destacam-se a capacidade de registrar a atividade da tela, registrar pressionamentos de tecla, coletar fotos e mensagens SMS, controlar remotamente o dispositivo infectado para realizar fraudes no dispositivo (ODF) e abusar da API de serviços de acessibilidade do Android para realizar ataques de sobreposição de HTML, bem como executar cliques e gestos no dispositivo.
O aplicativo dropper malicioso descoberto pela empresa italiana de segurança cibernética se disfarça como o navegador Google Chrome e, quando iniciado após a instalação, solicita que a vítima atualize o Google Play Providers clicando no botão Confirmar.
Caso o usuário prossiga com a atualização, um arquivo APK contendo a carga útil do TrickMo é baixado para o dispositivo sob o disfarce de “Serviços do Google”, após o qual o usuário é solicitado a habilitar os serviços de acessibilidade para o novo aplicativo.
“Os serviços de acessibilidade são projetados para auxiliar usuários com deficiências, fornecendo maneiras alternativas de interagir com seus dispositivos”, disseram os pesquisadores. “No entanto, quando explorados por aplicativos maliciosos como o TrickMo, esses serviços podem conceder amplo controle sobre o dispositivo.”
“Essa permissão elevada permite que o TrickMo execute várias ações maliciosas, como interceptar mensagens SMS, manipular notificações para interceptar ou ocultar códigos de autenticação e executar ataques de sobreposição de HTML para roubar credenciais do usuário. Além disso, o malware pode dispensar proteções de teclado e aceitar permissões automaticamente, permitindo que ele se integre perfeitamente às operações do dispositivo.”
Além disso, o abuso dos serviços de acessibilidade permite que o malware desabilite recursos de segurança cruciais e atualizações do sistema, conceda permissões automaticamente quando quiser e impeça a desinstalação de determinados aplicativos.
A análise da Cleafy também revelou configurações incorretas no servidor de comando e controle (C2), o que possibilitou o acesso a 12 GB de dados confidenciais extraídos dos dispositivos, incluindo credenciais e fotos, sem exigir nenhuma autenticação.
O servidor C2 também hospeda os arquivos HTML usados nos ataques de sobreposição. Esses arquivos abrangem páginas de login falsas para vários serviços, incluindo bancos como ATB Cell e Alpha Financial institution e plataformas de criptomoeda como Binance.
A falha de segurança não apenas destaca o erro de segurança operacional (OPSEC) por parte dos agentes da ameaça, mas também coloca os dados das vítimas em risco de exploração por outros agentes da ameaça.
A riqueza de informações expostas da infraestrutura C2 da TrickMo poderia ser aproveitada para cometer roubo de identidade, infiltrar várias contas on-line, conduzir transferências de fundos não autorizadas e até mesmo fazer compras fraudulentas. Pior ainda, os invasores poderiam sequestrar as contas e bloquear as vítimas redefinindo suas senhas.
“Usando informações pessoais e imagens, o invasor pode criar mensagens convincentes que induzem as vítimas a divulgar ainda mais informações ou executar ações maliciosas”, observaram os pesquisadores.
“Explorar dados pessoais tão abrangentes resulta em danos financeiros e de reputação imediatos e consequências de longo prazo para as vítimas, tornando a recuperação um processo complexo e prolongado.”
A divulgação ocorre no momento em que o Google vem corrigindo as falhas de segurança em torno do sideload para permitir que desenvolvedores terceirizados determinem se seus aplicativos são sideloaded usando a API Play Integrity e, se for o caso, exigir que os usuários baixem os aplicativos do Google Play para continuar a usá-los.
