最新研究发现,TrickMo Android银行木马出现了40个新变种,利用虚假锁屏界面窃取用户密码,并具备多项恶意功能。这些变种与16个下载器及22个命令控制基础设施相关联,攻击者可以通过钓鱼手段获取用户的金融凭证。
近期,Zimperium和Cleafy的安全研究人员发现了TrickMo Android银行木马的40个新变种。这些新变种与16个下载器和22个命令控制(C2)基础设施相关,具备窃取Android用户密码的新功能。
TrickMo首次被IBM X-Force于2020年记录,但据信早在2019年就已开始针对Android用户进行攻击。最新的变种通过虚假锁屏界面来窃取用户的解锁模式和PIN码,增加了攻击的隐蔽性和有效性。
新版本的TrickMo具有多种功能,包括一次性密码(OTP)拦截、屏幕录制、数据外泄和远程控制等。恶意软件利用强大的辅助功能服务权限,自动点击用户提示,增加其权限。
攻击中使用的银行业务覆盖,来源:Zimperium
Zimperium的分析显示,恶意软件能够创建伪造的银行和金融机构登录界面,欺骗用户输入账户凭证。一项新的欺骗性解锁屏幕模仿真实的Android解锁提示,试图窃取用户的PIN码或解锁模式。当用户输入信息时,这些数据将被发送到外部服务器,便于攻击者实施后续欺诈。
TrickMo 展示的伪造安卓锁屏,来源:Zimperium
由于C2基础设施的安全防护不当,Zimperium能够确定至少有13,000名受害者受到了该恶意软件的影响,受害者主要集中在加拿大、阿联酋、土耳其和德国。每当恶意软件成功渗出凭证时,其IP列表文件会定期更新,研究人员发现这些文件中包含数百万条记录,表明被攻击设备数量庞大,潜在的敏感数据也随之泄露。
TrickMo 受害者热图,来源:Zimperium
为减少感染风险,用户应避免从不明来源下载APK文件,并确保Google Play Protect处于激活状态以识别和阻止已知的TrickMo变种。随着攻击手段的不断升级,用户的网络安全意识显得尤为重要。
资讯来源:bleepingcomputer
转载请注明出处和本文链接
球分享
球点赞
球在看