Se han detectado 40 nuevas variantes del troyano bancario TrickMo, relacionadas con 16 droppers y 22 infraestructuras de comando y control, con capacidades adicionales para robar los PIN de Android.

Entre las nuevas funciones destacan la interceptación de contraseñas de un solo uso (OTP), grabación de pantalla, exfiltración de datos y control remoto. El malware aprovecha el permiso del Servicio de Accesibilidad para concederse más permisos y responder automáticamente a indicaciones del sistema.

TrickMo presenta superposiciones de inicio de sesión falsas a los usuarios de aplicaciones de bancos e instituciones financieras, con el fin de robar credenciales y realizar transacciones fraudulentas.

Los analistas de Zimperium han descubierto una nueva pantalla de desbloqueo falsa que imita el mensaje de Android para acceder al dispositivo. La interfaz de usuario fraudulenta es una página HTML alojada externamente que se muestra a pantalla completa en el dispositivo, lo que le da una apariencia legítima. Cuando el usuario ingresa su patrón o PIN, esta información, junto con el ID único del dispositivo, se envía a un script PHP.

Debido a la seguridad deficiente en la infraestructura de Comando y Control, se identificó al menos 13.000 víctimas afectadas por TrickMo, principalmente en Canadá, Emiratos Árabes Unidos, Turquía y Alemania. Esta cifra corresponde a «varios servidores C2», por lo que el número total de afectados probablemente sea mayor.

El alcance del malware va más allá de las aplicaciones bancarias, apunta también a VPN, plataformas de streaming, comercio electrónico, redes sociales, reclutamiento y herramientas empresariales. Actualmente, se propaga principalmente a través de campañas de phishing.

Fuente:

Expanding the Investigation: Deep Dive into Latest TrickMo Samples – Zimperium