TrickMo Android 銀行木馬的 40 個新變種已在野外被發現,與 16 個植入程序和 22 個不同的命令和控制 ( C2 ) 基礎設施相關,具有旨在竊取 Android PIN 的新功能。
Zimperium 是在 Cleafy 之前發布的一份報告調查了當前流通的一些(但不是所有)變種之後報告了這一情況。
TrickMo 于 2020 年首次由 IBM X-Force 記錄,但據悉其至少從 2019 年 9 月起就被用于針對 Android 用戶的攻擊。
假鎖屏竊取 Android PIN
TrickMo 新版本的主要功能包括一次性密碼 ( OTP ) 攔截、屏幕錄制、數據洩露、遠程控制等。該惡意軟件試圖濫用強大的輔助服務權限來授予自己額外的權限,并根據需要自動點擊提示。
作爲一種銀行木馬,它爲用戶提供各種銀行和金融機構的網絡釣魚登錄屏幕覆蓋,以竊取他們的帳戶憑據并使攻擊者能夠執行未經授權的交易。
攻擊中使用的銀行覆蓋層
Zimperium 分析師在剖析這些新變體時還報告了一個新的欺騙性解鎖屏幕,模仿真正的 Android 解鎖提示,旨在竊取用戶的解鎖圖案或 PIN。
欺騙性用戶界面是托管在外部網站上的 HTML 頁面,并在設備上以全屏模式顯示,使其看起來像合法屏幕。
當用戶輸入解鎖圖案或 PIN 碼時,頁面會将捕獲的 PIN 碼或圖案詳細信息以及唯一的設備标識符(Android ID)傳輸到 PHP 腳本。
TrickMo 顯示的假 Android 鎖屏
竊取 PIN 允許攻擊者通常在深夜在設備未受到主動監控時解鎖設備,以實施設備欺詐。
受害者分布圖
由于 C2 基礎設施安全不當,Zimperium 确定至少有 13,000 名受害者受到該惡意軟件的影響,其中大多數位于加拿大,在阿拉伯聯合酋長國、土耳其和德國也發現了大量受害者。
TrickMo 受害者分布圖
根據 Zimperium 的說法,這個數字相當于 " 幾台 C2 服務器 ",因此 TrickMo 受害者的總數可能更高。
據安全研究員分析表明,每當惡意軟件成功竊取憑據時,IP 列表文件就會定期更新,在這些文件中已經發現了數百萬條記錄,表明威脅者訪問了大量受感染的設備和大量敏感數據。
Cleafy 此前曾向公衆隐瞞了妥協的迹象,因爲配置錯誤的 C2 基礎設施可能會将受害者數據暴露給更廣泛的網絡犯罪社區,但 Zimperium 現在選擇将所有内容發布到這個 GitHub 存儲庫上。
然而,TrickMo 的目标範圍十分廣泛,涵蓋銀行以外的應用程序類型(和帳戶),包括 VPN、流媒體平台、電子商務平台、交易、社交媒體、招聘和企業平台。
TrickMo 目前通過網絡釣魚進行傳播,因此爲了最大限度地降低感染的可能性,人們應避免不認識的人通過短信或直接消息發送的 URL 下載 APK。
Google Play Protect 可識别并阻止 TrickMo 的已知變體,因此确保其在設備上處于活動狀态對于防禦惡意軟件至關重要。