Los autores de malware detrás de TrickBot banking Trojan han desarrollado una nueva aplicación para Android que puede interceptar códigos de autorización únicos enviados a clientes de banca por Internet a través de SMS o notificaciones push relativamente más seguras, y completar transacciones fraudulentas.
La aplicación de Android, llamada " TrickMo " por los investigadores de IBM X-Force, está en desarrollo activo y se ha dirigido exclusivamente a usuarios alemanes cuyos escritorios han sido infectados previamente con el malware TrickBot.
"Alemania es uno de los primeros campos de ataque a los que se extendió TrickBot cuando surgió por primera vez en 2016", dijeron investigadores de IBM. "En 2020, parece que el gran fraude bancario de TrickBot es un proyecto en curso que ayuda a la pandilla a monetizar cuentas comprometidas".
El nombre TrickMo es una referencia directa a un tipo similar de malware bancario para Android llamado ZitMo que fue desarrollado por la banda cibercriminal de Zeus en 2011 para vulnerar la autenticación de dos factores basada en SMS.
El desarrollo es la última incorporación al arsenal de capacidades en evolución del troyano bancario que desde entonces se ha transformado para entregar otros tipos de malware, incluido el notorio ransomware Ryuk , actuar como un ladrón de información, saquear billeteras de Bitcoin y cosechar correos electrónicos y credenciales.⚠️ Aufgepasst beim #Online #Banking:#Emotet lädt #Trickbot nach. Auf infizierten PCs blendet Trickbot beim Online-Banking eine Abfrage nach der Mobiltelefonnummer und des Gerätetyps ein und fordert Nutzer anschließend zur Installation einer angeblichen Sicherheits-App auf. pic.twitter.com/QHfmYojZxK— CERT-Bund (@certbund) September 20, 2019
Abusar de las características de accesibilidad de Android para secuestrar códigos OTP
Inicialmente detectado por el CERT-Bund en septiembre pasado, la campaña TrickMo funciona interceptando una amplia gama de números de autenticación de transacciones (TAN), incluida la contraseña de un solo uso (OTP), TAN móvil (mTAN) y códigos de autenticación pushTAN después de que las víctimas lo instalen en sus dispositivos Android.
El aviso del CERT-Bund continuó diciendo que las computadoras con Windows infectadas por TrickBot emplearon ataques de hombre en el navegador (MitB) para pedirles a las víctimas sus números de teléfono móvil y tipos de dispositivos bancarios en línea para solicitarles que instalen una seguridad falsa aplicación: ahora se llama TrickMo .
Pero dadas las amenazas de seguridad planteadas por la autenticación basada en SMS: los mensajes pueden ser secuestrados fácilmente por aplicaciones de terceros deshonestas y también son vulnerables a los ataques de intercambio de SIM , los bancos comienzan a depender cada vez más de las notificaciones push para los usuarios, que contienen la transacción detalles y el número TAN.
Para superar este obstáculo de hacerse con las notificaciones push de la aplicación, TrickMo utiliza las funciones de accesibilidad de Android que le permiten grabar un video de la pantalla de la aplicación, raspar los datos que se muestran en la pantalla, monitorear las aplicaciones que se ejecutan actualmente e incluso establecerse como La aplicación de SMS predeterminada.
Además, evita que los usuarios de dispositivos infectados desinstalen la aplicación.
Una amplia gama de características
Una vez instalado, TrickMo también es capaz de ganar persistencia al iniciarse después de que el dispositivo se vuelve interactivo o después de recibir un nuevo mensaje SMS. Además, presenta un mecanismo de configuración elaborado que permite a un atacante remoto emitir comandos para activar / desactivar funciones específicas (por ejemplo, permisos de accesibilidad, estado de grabación, estado de la aplicación de SMS) a través de un servidor de comando y control (C2) o un SMS mensaje.
Cuando se ejecuta el malware, extrae una amplia gama de información, que incluye:
- Información personal del dispositivo
- Mensajes SMS
- Grabar aplicaciones específicas para una contraseña de un solo uso (TAN)
- Fotos
Pero para evitar levantar sospechas al robar los códigos TAN, TrickMo activa la pantalla de bloqueo, evitando así que los usuarios accedan a sus dispositivos. Específicamente, utiliza una falsa pantalla de actualización de Android para enmascarar sus operaciones de robo de OTP.
Y, por último, viene con funciones de autodestrucción y eliminación, lo que permite a la pandilla de delitos informáticos detrás de TrickMo eliminar todos los rastros de la presencia del malware de un dispositivo después de una operación exitosa.
El interruptor de interrupción también se puede activar por SMS, pero los investigadores de IBM descubrieron que era posible descifrar los comandos SMS cifrados utilizando una clave privada RSA codificada incrustada en el código fuente, lo que permite generar la clave pública y crear una Mensaje SMS que puede activar la función de autodestrucción.
Aunque esto significa que el malware puede eliminarse de forma remota mediante un mensaje SMS, es justo suponer que una versión futura de la aplicación podría rectificar el uso de cadenas de clave codificadas para el descifrado.
"El troyano TrickBot fue una de las cepas de malware bancario más activas en el ámbito del delito cibernético en 2019", concluyeron los investigadores de IBM.
"Según nuestro análisis, es evidente que TrickMo está diseñado para ayudar a TrickBot a romper los métodos más recientes de autenticación basada en TAN. Una de las características más importantes que posee TrickMo es la función de grabación de aplicaciones, que es lo que le da a TrickBot la capacidad de superar validaciones de aplicaciones pushTAN más nuevas implementadas por los bancos ".
https://securityintelligence.com/posts/trickbot-pushing-a-2fa-bypass-app-to-bank-customers-in-germany/
