TrickMo 恶意软件使用假锁屏窃取 Android PIN
TrickMo Android银行木马的40个新变种已在野外被发现,与16个植入程序和22个不同的命令和控制(C2)基础设施相关,具有旨在窃取Android PIN的新功能。
Zimperium是在Cleafy之前发布的一份报告调查了当前流通的一些(但不是所有)变种之后报告了这一情况。
TrickMo于2020年首次由IBM X-Force记录,但据悉其至少从2019年9月起就被用于针对Android用户的攻击。
假锁屏窃取Android PIN
TrickMo新版本的主要功能包括一次性密码(OTP)拦截、屏幕录制、数据泄露、远程控制等。该恶意软件试图滥用强大的辅助服务权限来授予自己额外的权限,并根据需要自动点击提示。
作为一种银行木马,它为用户提供各种银行和金融机构的网络钓鱼登录屏幕覆盖,以窃取他们的帐户凭据并使攻击者能够执行未经授权的交易。
攻击中使用的银行覆盖层
Zimperium分析师在剖析这些新变体时还报告了一个新的欺骗性解锁屏幕,模仿真正的Android解锁提示,旨在窃取用户的解锁图案或PIN。
欺骗性用户界面是托管在外部网站上的HTML页面,并在设备上以全屏模式显示,使其看起来像合法屏幕。
当用户输入解锁图案或PIN码时,页面会将捕获的PIN码或图案详细信息以及唯一的设备标识符(Android ID)传输到PHP脚本。
TrickMo显示的假Android锁屏
窃取PIN允许攻击者通常在深夜在设备未受到主动监控时解锁设备,以实施设备欺诈。
受害者分布
由于C2基础设施安全不当,Zimperium确定至少有13,000名受害者受到该恶意软件的影响,其中大多数位于加拿大,在阿拉伯联合酋长国、土耳其和德国也发现了大量受害者。
根据Zimperium的说法,这个数字相当于“几台C2服务器”,因此TrickMo受害者的总数可能更高。
据安全研究员分析表明,每当恶意软件成功窃取凭据时,IP列表文件就会定期更新,在这些文件中已经发现了数百万条记录,表明威胁者访问了大量受感染的设备和大量敏感数据。
Cleafy此前曾向公众隐瞒了妥协的迹象,因为配置错误的C2基础设施可能会将受害者数据暴露给更广泛的网络犯罪社区,但Zimperium现在选择将所有内容发布到这个GitHub存储库上。
然而,TrickMo的目标范围十分广泛,涵盖银行以外的应用程序类型(和帐户),包括VPN、流媒体平台、电子商务平台、交易、社交媒体、招聘和企业平台。
TrickMo目前通过网络钓鱼进行传播,因此为了最大限度地降低感染的可能性,人们应避免不认识的人通过短信或直接消息发送的URL下载APK。
Google Play Protect可识别并阻止TrickMo的已知变体,因此确保其在设备上处于活动状态对于防御恶意软件至关重要。
参考及来源:https://www.bleepingcomputer.com/news/security/trickmo-malware-steals-android-pins-using-fake-lock-screen/
