Android trojanac TrickMo krade PIN-ove pomoću lažnih zaključanih ekrana
Mobilni telefoni, 15.10.2024, 10:30 AM

Istraživači bezbednosti kompanije Zimperium otkrili su čak 40 novih varijanti Android bankarskog trojanca TrickMo, povezanih sa 16 droppera i 22 različite komandne i kontrolne (C2) infrastrukture, sa novim funkcijama dizajniranim za krađu Android PIN-ova.
TrickMo je prvi put primećen 2020. godine, ali se smatra da je korišćen u napadima na korisnike Androida najmanje od septembra 2019. godine.
Nove verzije malvera TrickMo mogu da presreću jednokratne lozinke (OTP), snimaju ekran, eksfiltriraju podatke, omoguće napadačima daljinsko upravljanje i još mnogo toga. Trojanac može da zloupotrebi moćnu dozvolu Usluge pristupačnosti (Accessibility Service) da sebi dodeli dodatne dozvole i automatski odobri upite po potrebi.
S obzirom da je reč o bankarskom trojancu, on sajber kriminalcima omogućava preklapanja ekrana phishing ekranom za prijavu raznih banaka i finansijskih institucija i krađu podataka za prijavu i potom neovlašćene transakcije.
Analitičari Zimperiuma koji su analizirali ove nove varijante malvera primetili su ekran za otključavanje koji oponaša pravi Android ekran za otključavanje, čija je svrha da ukrade korisnikov šablon za otključavanje ili PIN.
„Obmanjujući korisnički interfejs je HTML stranica hostovana na spoljnom veb sajtu i prikazuje se u režimu celog ekrana na uređaju, zbog čega izgleda kao pravi ekran“, objašnjava Zimperium. „Kada korisnik unese svoj šablon za otključavanje ili PIN, stranica prenosi snimljeni PIN ili detalje šablona, zajedno sa jedinstvenim identifikatorom uređaja (Android ID) u PHP skripti.“
Krađa PIN-a omogućava napadačima da otključaju uređaj kada se pretpostavlja da je bez nadzora, verovatno u kasnim satima, kako bi izvršili prevaru.
Zbog neadekvatno obezbeđene C2 infrastrukture, Zimperium je uspeo da dođe do podatka da je najmanje 13.000 žrtava pogođeno ovim malverom. Većina žrtava je iz Kanade, zatim Ujedinjenih Arapskih Emirata, Turske i Nemačke. Ali ovo su podaci sa svega nekoliko C2 servera, tako da je ukupan broj žrtava verovatno mnogo veći.
Pored toga, istraživači kažu da je opseg delovanja TrickMoa dovoljno širok da obuhvati i aplikacije i naloge koji nisu povezani za bankama, uključujući VPN, platforme za striming, platforme za e-trgovinu, društvene mreže i poslovne platforme.
TrickMo se trenutno širi putem phishinga. Zato izbegavajte preuzimanje APK-ova sa URL-ova poslatih putem SMS-a ili direktnih poruka od ljudi koje ne poznajete.
Google Play Protect blokira poznate varijante malvera TrickMo, tako da treba proveriti da li je ova zaštita aktivna na uređaju što bi moglo biti ključno u odbrani od ovog malvera.
Foto: Zimperium

Izdvojeno
U Apple App Store pronađene aplikacije zaražene malverom koji čita tekst sa slika
.jpg)
U više iOS aplikacija pronađen je malver „SparkCat“ koji krade kriptovalute, objavila je kompanija Kaspersky. U martu prošle godine, is... Dalje
Kripto prevare u MMS porukama

Stručnjaci za sajber bezbednost iz Proofpointa upozorili su na prevarante koji zloupotrebljavaju MMS poruke (Multimedia Messaging Service) za Bitcoin... Dalje
Google prošle godine blokirao objavljivanje 2,3 miliona potencijalno opasnih aplikacija u Google Play prodavnici
.jpg)
Google je prošle godine zbog kršenja smernica i potencijalnog rizika za korisnike blokirao 2,3 miliona Android aplikacija u u zvaničnoj Android pro... Dalje
Google će sada automatski uklanjati dozvole za štetne aplikacije na Android uređajima
.png)
Googleova usluga skeniranja malvera Play Protect će sada automatski isključiti dozvole za Android aplikaciju ako je potencijalno štetna. Ova funkc... Dalje
Provera identiteta - nova funkcija Androida za zaštitu od krađe
.png)
Google uvodi novu funkciju pod nazivom Identity Check (Provera identiteta) za podržane Android uređaje koja zaključava osetljiva podešavanja iza b... Dalje
Pratite nas
Nagrade