Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
16.10.2024

TrickMo: как потерять деньги, разблокировав смартфон

Компания Zimperium обнаружила 40 новых версий банковского трояна TrickMo, который получил функции для уклонения от обнаружения и незаметной кражи данных.

Несмотря на отсутствие официальных индикаторов компрометации ( IoC ), специалисты выявили 40 новых версий программы, включая 16 дропперов и 22 активных C2 -сервера, а также дополнительные функциональные возможности. Анализ показал, что многие из образцов остаются незамеченными широкой публике.

Особенности вредоносного ПО:

  • перехват одноразовых паролей (OTP);
  • запись экрана;
  • кража данных;
  • удалённое управление;
  • автоматическое предоставление разрешений и автоматическое нажатие на запросы;
  • злоупотребление службами доступности;
  • отображение оверлеев и кража учётных данных.

Такие функции позволяют вредоносному ПО получать доступ к любой информации на устройстве, что может привести к несанкционированному доступу к банковским счетам и совершению финансовых операций без ведома владельца устройства.

Кроме указанных возможностей, исследователи обнаружили новый механизм, позволяющий злоумышленникам красть графические ключи или PIN-коды устройства. Вредоносное ПО отображает поддельный интерфейс разблокировки, имитирующий настоящий экран устройства. Когда пользователь вводит графический ключ или PIN-код, эти данные вместе с идентификатором устройства передаются на удалённый сервер.

Фишинговый интерфейс представляет собой HTML-страницу, размещенную на внешнем веб-сайте и отображаемую в полноэкранном режиме на устройстве, что делает ее похожей на настоящий экран.

Во время анализа был получен доступ к нескольким C2-серверам, где были обнаружены файлы с данными о примерно 13 000 уникальных IP-адресах жертв TrickMo. Основными целями атак стали Канада, ОАЭ, Турция и Германия. Список IP-адресов регулярно обновляется, когда малварь похищает очередные учётные данные. Общее количество скомпрометированных устройств исчисляется миллионами, а объём похищенных данных включает не только банковскую информацию, но и данные для доступа к корпоративным ресурсам – VPN и внутренним сервисам.

В настоящее время TrickMo распространяется посредством фишинга, поэтому, чтобы свести к минимуму вероятность заражения, не загружайте APK -файлы по ссылкам, отправленных по SMS или в личных сообщениях незнакомыми вам людьми.