Nieuwe varianten van een Android-banktrojan genaamd TrickMo blijken voorheen ongedocumenteerde functies te bevatten om het ontgrendelingspatroon of de pincode van een apparaat te stelen.
“Deze nieuwe toevoeging stelt de bedreigingsactor in staat om op het apparaat te opereren, zelfs als het vergrendeld is”, zei Zimperium-beveiligingsonderzoeker Aazim Yaswant in een analyse die vorige week werd gepubliceerd.
TrickMo werd voor het eerst in het wild gezien in 2019 en is zo genoemd vanwege zijn associaties met de cybercriminaliteitsgroep TrickBot. Het is in staat om op afstand controle te verlenen over geïnfecteerde apparaten, maar ook om op SMS gebaseerde eenmalige wachtwoorden (OTP’s) te stelen en overlay-schermen weer te geven inloggegevens vastleggen door misbruik te maken van de toegankelijkheidsservices van Android.
Vorige maand onthulde het Italiaanse cyberbeveiligingsbedrijf Cleafy bijgewerkte versies van de mobiele malware met verbeterde mechanismen om analyse te omzeilen en zichzelf extra toestemming te geven om verschillende kwaadaardige acties op het apparaat uit te voeren, waaronder het uitvoeren van ongeautoriseerde transacties.
Sommige van de nieuwe varianten van de malware zijn ook uitgerust om het ontgrendelingspatroon of de pincode van het apparaat te achterhalen door het slachtoffer een misleidende gebruikersinterface (UI) te presenteren die het daadwerkelijke ontgrendelingsscherm van het apparaat nabootst.
De gebruikersinterface is een HTML-pagina die wordt gehost op een externe website en op volledig scherm wordt weergegeven, waardoor de indruk wordt gewekt dat het een legitiem ontgrendelingsscherm is.
Als nietsvermoedende gebruikers hun ontgrendelingspatroon of pincode invoeren, wordt de informatie, samen met een unieke apparaat-ID, verzonden naar een door de aanvaller bestuurde server (“android.ipgeo(.)at”) in de vorm van een HTTP POST-verzoek.
Zimperium zei dat het gebrek aan adequate beveiligingsmaatregelen voor de C2-servers het mogelijk maakte om inzicht te krijgen in de soorten gegevens die daarop zijn opgeslagen. Dit omvat bestanden met ongeveer 13.000 unieke IP-adressen, waarvan de meeste geolocatie hebben in Canada, de VAE, Turkije en Duitsland.
“Deze gestolen inloggegevens beperken zich niet alleen tot bankgegevens, maar omvatten ook gegevens die worden gebruikt om toegang te krijgen tot bedrijfsbronnen zoals VPN’s en interne websites”, aldus Yaswant. “Dit onderstreept het cruciale belang van de bescherming van mobiele apparaten, omdat deze kunnen dienen als primair toegangspunt voor cyberaanvallen op organisaties.”
Een ander opmerkelijk aspect is de brede targeting van TrickMo, waarbij gegevens worden verzameld uit applicaties die meerdere categorieën omvatten, zoals bankieren, ondernemingen, banen en werving, e-commerce, handel, sociale media, streaming en entertainment, VPN, overheid, onderwijs, telecom en gezondheidszorg. .
De ontwikkeling vindt plaats te midden van de opkomst van een nieuwe ErrorFather Android banking trojan-campagne die een variant van Cerberus gebruikt om financiële fraude te plegen.
“De opkomst van ErrorFather onderstreept het aanhoudende gevaar van hergebruikte malware, omdat cybercriminelen de gelekte broncode blijven exploiteren, jaren nadat de oorspronkelijke Cerberus-malware werd ontdekt”, aldus Symantec, eigendom van Broadcom.
Volgens gegevens van Zscaler ThreatLabz zijn financieel gemotiveerde mobiele aanvallen met bankmalware in de periode juni 2023 tot april 2024 met 29% gestegen ten opzichte van het voorgaande jaar.
India kwam in de loop van de periode naar voren als het belangrijkste doelwit voor mobiele aanvallen en kreeg 28% van alle aanvallen te verwerken, gevolgd door de VS, Canada, Zuid-Afrika, Nederland, Mexico, Brazilië, Nigeria, Singapore en de Filippijnen.
