Cybersecurity-onderzoekers hebben een nieuwe variant van een Android-bankingtrojan ontdekt, genaamd TrickMo. Deze trojan beschikt over nieuwe mogelijkheden om analyses te omzeilen en nep-inlogschermen weer te geven om de bankgegevens van slachtoffers te bemachtigen.
“De mechanismen omvatten het gebruik van misvormde ZIP-bestanden in combinatie met JSONPacker,” aldus Cleafy-beveiligingsonderzoekers Michele Roviello en Alessandro Strino. “Bovendien wordt de applicatie geïnstalleerd via een dropper-app die dezelfde anti-analysemechanismen deelt.”
“Deze functies zijn ontworpen om detectie te omzeilen en de inspanningen van cybersecurityprofessionals om de malware te analyseren en te beperken, te belemmeren.”
TrickMo werd in september 2019 voor het eerst door CERT-Bund ontdekt en is in het verleden vooral gericht geweest op Android-apparaten. Daarbij gaat het met name om gebruikers in Duitsland. De bedoeling is om eenmalige wachtwoorden (OTP’s) en andere codes voor tweefactorauthenticatie (2FA) te achterhalen om financiële fraude te vergemakkelijken.
De malware die zich richt op mobiele apparaten, wordt gezien als het werk van de inmiddels ter ziele gegane e-crimebende TrickBot. In de loop der tijd zijn de verduisterings- en anti-analysefuncties voortdurend verbeterd om onopgemerkt te blijven.
Opvallende kenmerken zijn onder meer de mogelijkheid om schermactiviteit vast te leggen, toetsaanslagen te registreren, foto’s en sms-berichten te verzamelen, het geïnfecteerde apparaat op afstand te besturen om fraude op het apparaat (ODF) uit te voeren en de toegankelijkheidsservices-API van Android te misbruiken om HTML-overlay-aanvallen uit te voeren en klikken en gebaren op het apparaat uit te voeren.
De schadelijke dropper-app die door het Italiaanse cybersecuritybedrijf is ontdekt, doet zich voor als de webbrowser Google Chrome. Wanneer de app na installatie wordt opgestart, wordt het slachtoffer gevraagd om Google Play Services bij te werken door op de knop Bevestigen te klikken.
Als de gebruiker doorgaat met de update, wordt er een APK-bestand met de TrickMo-payload gedownload naar het apparaat onder de naam ‘Google Services’. Vervolgens wordt de gebruiker gevraagd om toegankelijkheidsservices voor de nieuwe app in te schakelen.
“Toegankelijkheidsservices zijn ontworpen om gebruikers met een beperking te helpen door alternatieve manieren te bieden om met hun apparaten te communiceren”, aldus de onderzoekers. “Wanneer ze echter worden misbruikt door kwaadaardige apps zoals TrickMo, kunnen deze services uitgebreide controle over het apparaat verlenen.”
“Deze verhoogde toestemming stelt TrickMo in staat om verschillende kwaadaardige acties uit te voeren, zoals het onderscheppen van sms-berichten, het verwerken van meldingen om authenticatiecodes te onderscheppen of verbergen, en het uitvoeren van HTML-overlay-aanvallen om gebruikersreferenties te stelen. Bovendien kan de malware keyguards negeren en automatisch toestemmingen accepteren, waardoor het naadloos kan worden geïntegreerd in de werking van het apparaat.”
Bovendien kan de malware door misbruik van de toegankelijkheidsservices cruciale beveiligingsfuncties en systeemupdates uitschakelen, automatisch machtigingen verlenen en voorkomen dat bepaalde apps worden verwijderd.
Uit de analyse van Cleafy bleek ook dat er sprake was van onjuiste configuraties in de command-and-control (C2)-server. Hierdoor kon er toegang worden verkregen tot 12 GB aan gevoelige gegevens die van de apparaten waren gejat, waaronder inloggegevens en foto’s, zonder dat er enige authenticatie nodig was.
De C2-server host ook de HTML-bestanden die worden gebruikt in de overlay-aanvallen. Deze bestanden omvatten nep-inlogpagina’s voor verschillende services, waaronder banken zoals ATB Mobile en Alpha Bank en cryptovalutaplatforms zoals Binance.
Deze tekortkoming in de beveiliging benadrukt niet alleen de operationele veiligheidsfout (OPSEC) van de dreigingsactoren, maar brengt ook het risico met zich mee dat de gegevens van slachtoffers door andere dreigingsactoren worden misbruikt.
De schat aan informatie die wordt blootgelegd door TrickMo’s C2-infrastructuur kan worden gebruikt om identiteitsdiefstal te plegen, verschillende online accounts te infiltreren, ongeautoriseerde geldtransfers uit te voeren en zelfs frauduleuze aankopen te doen. Erger nog, aanvallers kunnen de accounts kapen en de slachtoffers buitensluiten door hun wachtwoorden opnieuw in te stellen.
“Door gebruik te maken van persoonlijke informatie en afbeeldingen kan de aanvaller overtuigende berichten opstellen waarmee hij slachtoffers ertoe verleidt nog meer informatie te verstrekken of kwaadaardige acties uit te voeren”, aldus de onderzoekers.
“Het misbruiken van dergelijke uitgebreide persoonlijke gegevens leidt tot directe financiële en reputatieschade en heeft gevolgen op de lange termijn voor de slachtoffers. Hierdoor wordt herstel een complex en langdurig proces.”
Deze onthulling komt op het moment dat Google de beveiligingslekken rondom sideloading dicht, zodat externe ontwikkelaars kunnen bepalen of hun apps worden gesideload met behulp van de Play Integrity API. Als dat het geval is, moeten gebruikers de apps downloaden van Google Play om ze te kunnen blijven gebruiken.