Nuevas variantes del troyano para Android llamado TrickMo, que se propaga a través de aplicaciones maliciosas, enlaces fraudulentos y SMS, han sido descubiertas con funciones adicionales que permiten robar el patrón de desbloqueo o el PIN del dispositivo.
TrickMo se detectó por primera vez en 2019 y su nombre está asociado con el grupo de cibercrimen TrickBot.
Este troyano es capaz de otorgar control remoto sobre los dispositivos infectados, robar contraseñas de un solo uso (OTP) basadas en SMS y mostrar pantallas superpuestas para capturar credenciales, de tal manera que también puedan obtener el mensaje de verificación o confirmación para realizar transacciones.
Recientemente Cleafy informó sobre versiones actualizadas de TrickMo con mecanismos mejorados para evadir el análisis y obtener permisos adicionales, lo cual le permite realizar diversas acciones maliciosas en el dispositivo, incluidas transacciones no autorizadas.
Una de las capacidades destacadas en las nuevas variantes de TrickMo es la capacidad de recolectar el patrón de desbloqueo o el PIN del dispositivo mediante la presentación de una interfaz de usuario engañosa que imita la pantalla de desbloqueo real del dispositivo. Esta interfaz es una página HTML alojada en un sitio web externo que se muestra a pantalla completa, lo que le da al usuario la impresión de ser la pantalla de desbloqueo legítima, esta información se envía junto con un identificador único a un servidor controlado por los atacantes.
Las credenciales robadas por TrickMo no solo la forma la información bancaria, sino que también aquellas utilizadas para acceder a recursos corporativos como redes VPN y sitios internos.
Actualmente, este malware se dirige a una amplia variedad de aplicaciones, que incluyen categorías como bancos, empleo, comercio electrónico, trading, redes sociales, entretenimiento, VPN, salud.
TrickMo representa una amenaza seria para la seguridad de los dispositivos móviles, especialmente debido a su capacidad para ejecutarse incluso con el dispositivo bloqueado, actualizarse automáticamente y evadir la detección.
Es fundamental que los usuarios tomen medidas para proteger sus dispositivos, como mantener el software actualizado, evitar aplicaciones de fuentes no confiables, y realizar análisis regulares con aplicaciones de seguridad de confianza como Koodous, donde se pueden encontrar análisis específicos de esta familia de malware, para ayudar a identificar amenazas de manera efectiva.
Más información:
- Expanding the Investigation: Deep Dive into Latest TrickMo Samples https://www.zimperium.com/blog/expanding-the-investigation-deep-dive-into-latest-trickmo-samples/
- TrickMo Android Trojan Exploits Accessibility Services for On-Device Banking Fraud https://thehackernews.com/2024/10/trickmo-banking-trojan-can-now-capture.html
- Ejemplo muestras de TrickMo en Koodous https://koodous.com/apks/11af0da9a7c5f65bb098ed52973e814b12eba492fb3615a5fada5d4cc390928d/general-information https://koodous.com/apks/3c52c96c8c8bddb4ff2165c9f2ffdefba23532f1c2b24c03fcf8049c84d613b6/general-information https://koodous.com/apks/a03c968ed6f639f766cf562493a90ae7a61e909d99e098aea2abbbf607003337/general-information https://koodous.com/apks/59e2767c7158d60b990bcd97b0abcea00b1bdafc869e9c971179abef5e38b17f/general-information
- TrickMo malware steals Android PINs using fake lock screen https://www.bleepingcomputer.com/news/security/trickmo-malware-steals-android-pins-using-fake-lock-screen/
Deja una respuesta