Cleafy 威胁情报团队发现了TrickMo Android银行木马的新变种。
该木马最初被归类为未知恶意软件样本,经过深入分析后发现,它是 TrickMo 变种。
具有一些新的反分析功能,使得检测更加困难,并对手机银行用户构成重大威胁。
TrickMo 的进化
TrickMo 于 2019 年首次被 CERT-Bund 发现,长期以来一直以 Android 设备为目标实施金融诈骗。
它最初因拦截一次性密码 (OTP) 和其他双因素身份验证 (2FA) 机制而声名狼藉,主要针对欧洲银行应用程序,尤其是德国的银行应用程序。
该木马病毒由臭名昭著的 TrickBot 恶意软件演变而来,后者主要针对 Windows 系统。
随着网络安全防御能力的提高,TrickBot 的作者将攻击范围扩大到 Android 设备,并创建了 TrickMo 来实现其恶意目标。
该恶意软件的主要特征包括:
OTP 拦截:TrickMo 拦截通过 SMS 或身份验证器应用程序发送的 OTP,允许犯罪分子绕过 2FA 并进行欺诈交易。
屏幕记录和键盘记录:该恶意软件捕获敏感信息,例如登录凭据和 PIN。
远程控制:威胁行为者可以在用户不知情的情况下远程控制受感染的设备、执行交易并修改设置。
辅助功能服务滥用:TrickMo 利用 Android 的辅助功能服务来操纵设备权限并访问其他应用程序的数据。
高级混淆:TrickMo 不断发展,使用复杂的技术来逃避网络安全研究人员的检测。
存储在不安全端点的数据
Cleafy 团队发现了有关 TrickMo 的命令和控制 (C2) 基础设施的关键细节。
通过恶意软件与其 C2 服务器的通信,恶意攻击者可以管理受感染设备上的操作并窃取敏感数据。
特别令人担忧的是,被盗数据存储在不安全的端点中,这些端点可能被多个恶意攻击者访问,从而使受害者面临进一步的威胁。
C2 服务器可促进一系列恶意活动,包括传递命令和收集有关受感染设备的详细信息,例如电话号码和已安装的应用程序。
然后,攻击者根据特定设备定制他们的活动,从而提高其活动的有效性。
其中一个突出的功能是“Clicker”配置,它可以通过 Android 的辅助功能服务在设备上实现自动操作。
TrickMo 可以禁用安全功能、阻止系统更新并阻止应用程序卸载,从而使攻击者几乎完全控制设备。
数据泄露风险
另一个令人震惊的发现是 TrickMo 的 C2 服务器发生了大规模数据泄露。
基础设施配置错误使研究人员能够获取 12 GB 的被盗数据,例如护照、信用卡详细信息和其他个人文件,这增加了身份盗窃、勒索和网络钓鱼攻击的风险。
第三方攻击者可以在没有适当身份验证机制的情况下轻松访问这些信息,从而增加了受害者的风险。
https://www.cleafy.com/cleafy-labs/a-new-trickmo-saga-from-banking-trojan-to-victims-data-leak
原文始发于微信公众号(网络研究观):研究人员发现 TrickMo 银行木马的新变种
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论