Los autores del malware detrás del troyano bancario TrickBot han desarrollado una nueva aplicación para Android que puede interceptar códigos de autorización únicos enviados a clientes de banca por Internet a través de SMS o notificaciones automáticas relativamente más seguras, y completar transacciones fraudulentas.
La aplicación de Android, llamada «TrickMo» por los investigadores de IBM X-Force, está en desarrollo activo y se ha dirigido exclusivamente a usuarios alemanes cuyos escritorios han sido infectados previamente con el malware TrickBot.
«Alemania es uno de los primeros territorios de ataque que TrickBot propaga cuando surgió por primera vez en 2016», dijeron los investigadores de IBM. «En 2020, parece que el gran fraude bancario de TrickBot es un proyecto en curso que ayuda a la pandilla a monetizar las cuentas comprometidas».
El nombre TrickMo es una referencia directa a un tipo similar de malware bancario para Android llamado ZitMo que fue desarrollado por la banda de cibercriminales Zeus en 2011 para vencer la autenticación de dos factores basada en SMS.
El desarrollo es la última incorporación al arsenal de capacidades en evolución del troyano bancario que desde entonces se ha transformado para entregar otros tipos de malware, incluido el notorio ransomware Ryuk, actuar como un ladrón de información, saquear billeteras de Bitcoin y recolectar correos electrónicos y credenciales.
Abusar de las funciones de accesibilidad de Android para secuestrar códigos OTP
Inicialmente detectada por CERT-Bund en septiembre pasado, la campaña TrickMo funciona al interceptar una amplia gama de números de autenticación de transacciones (TAN), incluida la contraseña de un solo uso (OTP), TAN móvil (mTAN) y códigos de autenticación pushTAN después de que las víctimas lo instalan. en sus dispositivos Android.
CERT-Bund consultivo Continuó afirmando que las computadoras con Windows infectadas por TrickBot emplearon ataques de hombre en el navegador (MitB) para pedirles a las víctimas sus números de teléfono móvil de banca en línea y tipos de dispositivos para incitarlos a instalar una aplicación de seguridad falsa, ahora llamada TrickMo.
Pero dadas las amenazas de seguridad que plantea la autenticación basada en SMS (los mensajes pueden ser secuestrados fácilmente por aplicaciones de terceros no autorizadas y también son vulnerables a los ataques de intercambio de SIM), los bancos están comenzando a depender cada vez más de las notificaciones automáticas para los usuarios, que contienen la transacción. detalles y el número TAN.
Para superar este obstáculo de obtener las notificaciones automáticas de la aplicación, TrickMo utiliza las funciones de accesibilidad de Android que le permiten grabar un video de la pantalla de la aplicación, raspar los datos que se muestran en la pantalla, monitorear las aplicaciones que se están ejecutando actualmente e incluso establecerse como la aplicación de SMS predeterminada.
Además, evita que los usuarios de dispositivos infectados desinstalen la aplicación.
Una amplia gama de características
Una vez instalado, TrickMo también es capaz de ganar persistencia al iniciarse después de que el dispositivo se vuelve interactivo o después de que se recibe un nuevo mensaje SMS. Además, cuenta con un elaborado mecanismo de configuración que permite a un atacante remoto emitir comandos para activar o desactivar funciones específicas (p. ej., permisos de accesibilidad, estado de grabación, estado de la aplicación de SMS) a través de un servidor de comando y control (C2) o un SMS. mensaje.
Cuando se ejecuta el malware, filtra una amplia gama de información, que incluye:
- Información del dispositivo personal
- mensajes SMS
- Registro de aplicaciones específicas para una contraseña de un solo uso (TAN)
- Fotos
Pero para evitar levantar sospechas al robar los códigos TAN, TrickMo activa la pantalla de bloqueo, impidiendo así que los usuarios accedan a sus dispositivos. Específicamente, utiliza una pantalla de actualización de Android falsa para enmascarar sus operaciones de robo de OTP.
Y, por último, viene con funciones de autodestrucción y eliminación, lo que permite a la pandilla de ciberdelincuentes detrás de TrickMo eliminar todos los rastros de la presencia del malware de un dispositivo después de una operación exitosa.
El interruptor de interrupción también se puede activar mediante SMS, pero los investigadores de IBM descubrieron que era posible descifrar los comandos de SMS cifrados utilizando una clave privada RSA codificada incrustada en el código fuente, lo que hace posible generar la clave pública y crear un Mensaje SMS que puede activar la función de autodestrucción.
Aunque esto significa que el malware se puede eliminar de forma remota mediante un mensaje SMS, es justo suponer que una versión futura de la aplicación podría rectificar el uso de cadenas de clave codificadas para el descifrado.
«El troyano TrickBot fue una de las cepas de malware bancario más activas en el campo del cibercrimen en 2019», concluyeron los investigadores de IBM.
«Según nuestro análisis, es evidente que TrickMo está diseñado para ayudar a TrickBot a romper los métodos más recientes de autenticación basada en TAN. Una de las características más importantes que posee TrickMo es la función de grabación de la aplicación, que es lo que le da a TrickBot la capacidad de superar la Validaciones más recientes de la aplicación pushTAN implementadas por los bancos «.