Το Android banking malware είναι ένας τύπος κακόβουλου λογισμικού που στοχεύει χρηματοπιστωτικά ιδρύματα και τους πελάτες τους.

Υπάρχει μια αύξηση στο Android banking malware, το οποίο εκμεταλλεύεται ευπάθειες στο λειτουργικό σύστημα Android για να κλέψει ευαίσθητες πληροφορίες χρήστη.

Η ομάδα του Cleafy’s Threat Intelligence ανακάλυψε πρόσφατα ένα νέο Android banking malware με την ονομασία “TrickMo”, το οποίο βρέθηκε ότι επιτίθεται ενεργά στους χρήστες για να κλέψει τα credentials σύνδεσης.

Android Banking Malware TrickMo

Διαβάστε περισσότερα: SpyAgent: Νέο Android malware κλέβει τα recovery phrases των crypto wallets

Το TrickMo αποτελεί μια νέα παραλλαγή Android banking malware, προερχόμενο από τον προκάτοχό του, το TrickBot. Αντί για τους παραδοσιακούς κωδικοποιητές, αξιοποιεί προηγμένες anti-analysis τεχνικές, όπως σπασμένα αρχεία zip, jsonpacker και dropper εφαρμογές, προκειμένου να αποφύγει τον εντοπισμό του.

Η διανομή αυτού του κακόβουλου λογισμικού πραγματοποιείται μέσω ενός dropper που μεταμφιέζεται σε “Google Chrome” και εκμεταλλεύεται τις Υπηρεσίες Προσβασιμότητας Android για την έγκριση των διαχειριστικών ελέγχων. Μετά την εγκατάσταση, το TrickMo έχει τη δυνατότητα να καταγράφει κωδικούς πρόσβασης μίας χρήσης για διαδικτυακές τραπεζικές υπηρεσίες, να καταγράφει τις οθόνες, να καταγράφει πατήματα πλήκτρων και να εκμεταλλεύεται την απομακρυσμένη πρόσβαση στις μολυσμένες συσκευές.

Εμπλέκεται στην ανταλλαγή δεδομένων με τον C2 server χρησιμοποιώντας τη μέθοδο ανάρτησης και στέλνοντας πληροφορίες συσκευής ως JSON στο τελικό σημείο /c και λαμβάνει εντολές, σύμφωνα με το report της Cleanfly.

Το TrickMo χρησιμοποιεί μια διαμόρφωση Clicker (clicker.json) για την αυτοματοποίηση ενεργειών μέσω της Υπηρεσίας Προσβασιμότητας, στοχεύοντας τόσο εφαρμογές συστήματος όσο και βοηθητικές εφαρμογές.

Το malware έχει δυνατότητες όπως υποκλοπή SMS, ανάκτηση φωτογραφιών, εγγραφή οθόνης, απομακρυσμένη πρόσβαση και HTML overlay επιθέσεις για την κλοπή credentials. Το κακόβουλο λογισμικό έχει τη δυνατότητα να αλλάξει την προεπιλεγμένη εφαρμογή SMS, να ανακτήσει λίστες με εγκατεστημένες εφαρμογές και να εκτελεί κλικ και διάφορες ενέργειες στη συσκευή.

Ο C2 server του TrickMo διατηρεί δεδομένα, όπως αρχεία καταγραφής, credentials και φωτογραφίες, αλλά στερείται οποιασδήποτε μορφής ελέγχου ταυτότητας, εκθέτοντας τα θύματα σε πολλαπλούς παράγοντες απειλής.

Το TrickMo ανακαλύφθηκε και αναφέρθηκε για πρώτη φορά από το CERT-Bund το 2019, στοχεύοντας κυρίως σε τραπεζικές εφαρμογές στην Ευρώπη, με έμφαση στη γερμανική γλώσσα, όπως υποδεικνύεται από τις συγκεκριμένες ρυθμίσεις γλώσσας στο αρχείο Clicker.json.

Δείτε επίσης: NGate: Νέο Android malware βοηθά hackers να κλέψουν χρήματα

Η ανάλυση του ονόματος πακέτου του προγράμματος εγκατάστασης του Cloud Strife (dreammes.ross431.in) και της διαδικασίας αποσυσκευασίας του (com.turkey.inner.Uactortrust) αποκαλύπτει τις εξαιρετικά προηγμένες μεθόδους που χρησιμοποιούνται για την απόκρυψη και την προστασία του κακόβουλου λογισμικού.

Η παραβίαση συνέβη λόγω της εσφαλμένης ρύθμισης του server Command and Control (C2), η οποία οδήγησε στη διαρροή 12 GB δεδομένων του θύματος.

Ορισμένα κρίσιμα τελικά σημεία (endpoints) του C2 server αποκάλυψαν τις διευθύνσεις IP των παραβιασμένων συσκευών, τα αρχεία καταγραφής λειτουργιών, και τα έγγραφα HTML που χρησιμοποιούνται για επιθέσεις σε τραπεζικές και πλατφόρμες κρυπτονομισμάτων.

Επιπλέον, περιλάμβαναν αρχεία CSV με κλεμμένα ονόματα χρήστη και κωδικούς πρόσβασης, καθώς και αρχεία ZIP που περιείχαν εικόνες από παραβιασμένες συσκευές.

Αυτή η διαρροή αποκαλύπτει όχι μόνο ένα σφάλμα τακτικής από τους δημιουργούς της υποδομής του TrickMo, αλλά αυξάνει και την πιθανότητα περαιτέρω εκμετάλλευσης των δεδομένων που διέρρευσαν.

Διαβάστε ακόμη: Σιγκαπούρη: Δύο άνδρες κατηγορούνται για διανομή Android malware

Οι φορείς απειλών μπορούν να αξιοποιήσουν αυτές τις πληροφορίες για να συνδεθούν στους λογαριασμούς χρηστών, να διαπράξουν κλοπή ταυτότητας και να εκτελέσουν στοχευμένες επιθέσεις phishing. Οι δημοσιευμένες πληροφορίες περιλαμβάνουν τόσο την επιφάνεια επίθεσης όσο και πιθανούς φυσικούς στόχους, υποδεικνύοντας την ανάγκη για την υιοθέτηση ολοκληρωμένων μέτρων ασφαλείας.

Είναι επιτακτική, λοιπόν, η βελτίωση των συστημάτων ασφαλείας δεδομένων για την αποτροπή τέτοιων περιστατικών στο μέλλον.

Πηγή: cybersecuritynews