Investigadores de ciberseguridad han descubierto una nueva variante de un troyano bancario para Android llamado TrickMo que viene equipado con nuevas capacidades para evadir el análisis y mostrar pantallas de inicio de sesión falsas para capturar las credenciales bancarias de las víctimas.
«Los mecanismos incluyen el uso de archivos ZIP malformados en combinación con JSONPacker», dijeron los investigadores de seguridad de Cleafy Michele Roviello y Alessandro Strino. dicho«Además, la aplicación se instala a través de una aplicación dropper que comparte los mismos mecanismos anti-análisis».
«Estas funciones están diseñadas para evadir la detección y obstaculizar los esfuerzos de los profesionales de la ciberseguridad para analizar y mitigar el malware».
TrickMo, detectado por primera vez por CERT-Bund en septiembre de 2019, tiene antecedentes de atacar dispositivos Android, en particular usuarios en Alemania para robar contraseñas de un solo uso (OTP) y otros códigos de autenticación de dos factores (2FA) para facilitar el fraude financiero.
Se considera que el malware enfocado en dispositivos móviles es obra de la ahora desaparecida banda de delitos electrónicos TrickBot, que con el tiempo ha mejorado continuamente sus funciones de ofuscación y antianálisis para pasar desapercibida.
Entre sus características se destacan su capacidad para grabar la actividad de la pantalla, registrar pulsaciones de teclas, recopilar fotos y mensajes SMS, controlar de forma remota el dispositivo infectado para realizar fraudes en el dispositivo (ODF) y abusar de la API de servicios de accesibilidad de Android para llevar a cabo ataques de superposición HTML, así como realizar clics y gestos en el dispositivo.
La aplicación maliciosa descubierta por la empresa de ciberseguridad italiana se hace pasar por el navegador web Google Chrome y, cuando se inicia después de la instalación, insta a la víctima a actualizar los Servicios de Google Play haciendo clic en el botón Confirmar.
Si el usuario continúa con la actualización, se descarga al dispositivo un archivo APK que contiene la carga útil de TrickMo bajo la apariencia de «Servicios de Google», después de lo cual se le solicita al usuario que habilite los servicios de accesibilidad para la nueva aplicación.
«Los servicios de accesibilidad están diseñados para ayudar a los usuarios con discapacidades brindándoles formas alternativas de interactuar con sus dispositivos», dijeron los investigadores. «Sin embargo, cuando son explotados por aplicaciones maliciosas como TrickMo, estos servicios pueden otorgar un amplio control sobre el dispositivo».
«Este permiso elevado permite a TrickMo realizar diversas acciones maliciosas, como interceptar mensajes SMS, gestionar notificaciones para interceptar u ocultar códigos de autenticación y ejecutar ataques de superposición HTML para robar credenciales de usuario. Además, el malware puede ignorar las protecciones de teclas y aceptar permisos automáticamente, lo que le permite integrarse sin problemas en las operaciones del dispositivo».
Además, el abuso de los servicios de accesibilidad permite al malware deshabilitar funciones de seguridad cruciales y actualizaciones del sistema, otorgar permisos automáticamente a voluntad y evitar la desinstalación de ciertas aplicaciones.
El análisis de Cleafy también descubrió configuraciones erróneas en el servidor de comando y control (C2) que hicieron posible acceder a 12 GB de datos confidenciales extraídos de los dispositivos, incluidas credenciales e imágenes, sin requerir ninguna autenticación.
El servidor C2 también aloja los archivos HTML utilizados en los ataques de superposición. Estos archivos incluyen páginas de inicio de sesión falsas para varios servicios, entre ellos bancos como ATB Mobile y Alpha Bank y plataformas de criptomonedas como Binance.
La falla de seguridad no solo resalta el error de seguridad operativa (OPSEC) por parte de los actores de amenazas, sino que también pone los datos de las víctimas en riesgo de ser explotados por otros actores de amenazas.
La gran cantidad de información expuesta desde la infraestructura C2 de TrickMo podría aprovecharse para cometer robos de identidad, infiltrarse en varias cuentas en línea, realizar transferencias de fondos no autorizadas e incluso realizar compras fraudulentas. Peor aún, los atacantes podrían secuestrar las cuentas y bloquear el acceso de las víctimas restableciendo sus contraseñas.
«Usando información e imágenes personales, el atacante puede crear mensajes convincentes que engañen a las víctimas para que divulguen aún más información o ejecuten acciones maliciosas», señalaron los investigadores.
“La explotación de datos personales tan amplios produce daños financieros y de reputación inmediatos y consecuencias a largo plazo para las víctimas, lo que hace que la recuperación sea un proceso complejo y prolongado”.
La revelación se produce mientras Google ha estado tapando los agujeros de seguridad en torno a la carga lateral para permitir que los desarrolladores externos… determinar Si sus aplicaciones se cargan lateralmente mediante el API de integridad de juego y, de ser así, exigir a los usuarios que descarguen las aplicaciones de Google Play para poder seguir utilizándolas.