Una nuova variante del mobile banking trojan TrickMo sta attirando le attenzioni dei ricercatori di sicurezza per le sue funzionalità avanzate, che consentono al malware di rubare dati sensibili e riservati delle vittime e di prendere il controllo dei dispositivi Android.

Nel rapporto pubblicato da Zimperium si legge: “Il nostro team di ricerca ha condotto una propria ricerca e ha identificato 40 varianti recenti di questa minaccia, 16 dropper e 22 Command and Control (C2) attivi, oltre a funzionalità aggiuntive”. La ricerca è stata condotta in seguito a un approfondimento del rapporto di Cleafy riguardo alla scoperta di nuove varianti del trojan Android.

Tecniche di evasione e capacità di attacco

Come è noto, TrickMo utilizza diverse tecniche per evitare il rilevamento da parte dei software di sicurezza, tra cui la manipolazione dei file zip e l’offuscamento tramite JSONPacker e possiede molteplici capacità:

1. TrickMo può intercettare i codici OTP (One-Time Password) inviati via SMS o app di autenticazione.
2. Il malware può registrare lo schermo del dispositivo per catturare informazioni sensibili.
3. TrickMo è in grado di esfiltrare dati dal dispositivo infetto verso server controllati dagli attaccanti.
4. Controllo remoto: Gli attaccanti possono controllare il dispositivo da remoto, eseguendo comandi e manipolando il dispositivo.
5. TrickMo può concedere automaticamente i permessi necessari per le sue operazioni senza l’interazione dell’utente.
6. Abuso dei servizi di accessibilità.
7. TrickMo può visualizzare overlay ingannevoli per rubare le credenziali dell’utente.

Fonte: Zimperium.

Il furto del PIN di sblocco del telefono

Alle capacità annunciate se ne aggiunge, secondo Zimperium, una nuova e più preoccupante ovvero quella di rubare il pattern di sblocco o il PIN del dispositivo per il tramite di un’interfaccia utente ingannevole che imita la schermata di sblocco del dispositivo, inducendo l’utente a inserire il proprio pattern o PIN, che viene poi intercettato dal malware.

“L’ingannevole interfaccia utente è una pagina HTML ospitata su un sito Web esterno e viene visualizzata in modalità a schermo intero sul dispositivo, facendola sembrare una schermata legittima”, spiega Aazim Yaswant, Malware Analyst di Zimperium. “Quando l’utente inserisce il suo schema di sblocco o PIN, la pagina trasmette i dettagli del PIN o dello schema catturati, insieme a un identificatore univoco del dispositivo (l’ID Android) a uno script PHP”.

In pratica, tramite il metodo denominato “getAndroidID”, il codice malevolo recupera il valore dell’identificatore univoco del dispositivo e lo aggiunge ad una richiesta POST da inviare al server C2 dopo l’acquisizione del codice/schema di sblocco, consentendo così agli attaccanti di correlare per ciascuna vittima le credenziali rubate al relativo dispositivo.

Fonte: Zimperium.

Settori di interesse e target

I ricercatori sono stati in grado anche di determinare l’ambito di applicazione del malware e la geolocalizzazione delle vittime di TrickMo.

Sarebbero almeno 13.000 le vittime, la maggior parte delle quali in Canada, Emirati Arabi Uniti, Turchia e Germania e diverse le tipologie di account e piattaforme d’interesse tra cui app bancarie (17,9%), piattaforme aziendali (16,1%), app di reclutamento (10,7%), piattaforme di e-commerce (8,9%) e piattaforme di trading (8%).

Fonte: Zimperium.

Conclusioni

Le tecniche sofisticate di evasione e le capacità di TrickMo rappresentano una minaccia significativa per la sicurezza dei dispositivi mobili.

Per attenuare la probabilità di infezione si consiglia pertanto agli utenti di scaricare app solo da fonti attendibili e di prestare attenzione alle varie declinazioni del phishing, ricordando che può essere vettore anche di malware.

Zimperium ha scelto di pubblicare tutti gli IoC su un repository GitHub.