Table of Contents
Novos Variant de Trojan Bancário TrickMo
Novas variantes de um Trojan bancário para Android chamado TrickMo foram descobertas, possuindo recursos ainda não documentados para roubar o padrão de desbloqueio ou PIN de um dispositivo. A adição desse recurso permite que o ator da ameaça opere no dispositivo, mesmo enquanto ele está bloqueado.
“Essa nova adição habilita o ator da ameaça a operar no dispositivo mesmo enquanto ele está bloqueado”, disse o pesquisador de segurança da Zimperium, Aazim Yaswant, em uma análise publicada na semana passada.
Histórico do TrickMo
Primeiramente avistado na natureza em 2019, o TrickMo recebeu este nome devido às suas associações com o grupo cibernético TrickBot. Ele é capaz de conceder controle remoto sobre dispositivos infectados, além de roubar senhas de uso único (OTPs) baseadas em SMS e exibir telas de sobreposição para capturar credenciais, abusando dos serviços de acessibilidade do Android.
Desenvolvimentos Recentes
No último mês, a empresa italiana de cibersegurança Cleafy divulgou versões atualizadas do malware móvel, com mecanismos aprimorados para evadir análise e garantir permissões adicionais para realizar várias ações maliciosas no dispositivo, incluindo a execução de transações não autorizadas.
Algumas das novas variantes do malware estão equipadas para coletar o padrão de desbloqueio ou PIN do dispositivo, apresentando à vítima uma interface de usuário (UI) enganosa que imita a tela de desbloqueio real do dispositivo.
A UI é uma página HTML hospedada em um site externo e exibida em modo de tela cheia, dando a impressão de que é uma tela de desbloqueio legítima. Se usuários desavisados inserirem seu padrão de desbloqueio ou PIN, a informação, junto com um identificador exclusivo do dispositivo, é transmitida para um servidor controlado pelo atacante (“android.ipgeo[.]at“) na forma de uma solicitação HTTP POST.
Implicações da Ameaça
A Zimperium mencionou que a falta de proteções de segurança adequadas para os servidores C2 tornou possível obter informações sobre os tipos de dados armazenados neles. Isso inclui arquivos com aproximadamente 13.000 endereços IP únicos, a maioria dos quais está geolocalizada no Canadá, Emirados Árabes Unidos, Turquia e Alemanha.
“Essas credenciais roubadas não se limitam apenas a informações bancárias, mas também incluem aquelas usadas para acessar recursos corporativos, como VPNs e sites internos”, enfatizou Yaswant. “Isso ressalta a importância crítica de proteger dispositivos móveis, pois eles podem servir como um ponto de entrada principal para ciberataques a organizações.”
Alvos e Setores
Outro aspecto notável é a ampla gama de aplicações que o TrickMo visa, coletando dados de aplicativos em várias categorias, como:
- Banking
- Empresarial
- Emprego e recrutamento
- E-commerce
- Negociação
- Mídias sociais
- Streaming e entretenimento
- VPN
- Governo
- Educação
- Telecomunicações
- Saúde
Emergência de Novas Ameaças
O desenvolvimento do TrickMo ocorre em meio à emergência de uma nova campanha de trojan bancário para Android chamada ErrorFather, que emprega uma variante do Cerberus para realizar fraudes financeiras.
“A emergência do ErrorFather destaca o perigo persistente de malware reaproveitado, à medida que cibercriminosos continuam a explorar códigos fonte vazados anos após a descoberta do malware Cerberus original”, declarou a Symantec, de propriedade da Broadcom.
Dados do Zscaler ThreatLabz indicam que ataques móveis motivados financeiramente, envolvendo malware bancário, aumentaram 29% durante o período de junho de 2023 a abril de 2024, em comparação com o ano anterior. A Índia emergiu como o principal alvo para ataques móveis, representando 28% de todos os ataques, seguida pelos EUA, Canadá, África do Sul, Países Baixos, México, Brasil, Nigéria, Cingapura e Filipinas.
#Trojan #TrickMo #Cibersegurança #Malware #Android #Fraude #SegurançaDigital #AmeaçasOnline #Tecnologia
Fonte:https://thehackernews.com/2024/10/trickmo-banking-trojan-can-now-capture.html