I ricercatori di cybersecurity hanno scoperto una nuova variante del trojan bancario Android chiamato TrickMo. Questo malware è noto per sfruttare i servizi di accessibilità per commettere frodi bancarie direttamente sul dispositivo. La nuova versione di TrickMo è dotata di funzionalità avanzate per eludere l'analisi e mostrare schermate di login false per catturare le credenziali bancarie delle vittime.

I meccanismi utilizzati includono file ZIP malformati in combinazione con JSONPacker. Inoltre, l'applicazione viene installata tramite un'app dropper che condivide gli stessi meccanismi anti-analisi. Queste caratteristiche sono progettate per evitare la rilevazione e ostacolare gli sforzi dei professionisti della cybersecurity per analizzare e mitigare il malware.

TrickMo, osservato per la prima volta da CERT-Bund nel settembre 2019, ha una storia di attacchi ai dispositivi Android, in particolare in Germania, per sottrarre password monouso (OTP) e altri codici di autenticazione a due fattori (2FA) allo scopo di facilitare frodi finanziarie. Il malware, focalizzato sui dispositivi mobili, è attribuito al gruppo di criminalità informatica TrickBot, ora defunto, che nel tempo ha migliorato continuamente le sue funzioni di offuscamento e anti-analisi per passare inosservato.

Tra le funzionalità notevoli di TrickMo ci sono la capacità di registrare l'attività dello schermo, registrare i tasti premuti, raccogliere foto e messaggi SMS, controllare da remoto il dispositivo infetto per commettere frodi sul dispositivo (ODF) e abusare dell'API dei servizi di accessibilità di Android per eseguire attacchi di overlay HTML, nonché eseguire clic e gesti sul dispositivo.

L'app dropper dannosa scoperta dalla società di cybersecurity italiana si maschera da browser web Google Chrome che, una volta lanciata dopo l'installazione, invita l'utente ad aggiornare i servizi di Google Play cliccando sul pulsante Conferma. Se l'utente procede con l'aggiornamento, un file APK contenente il payload TrickMo viene scaricato sul dispositivo sotto la copertura di "Google Services," dopodiché l'utente viene invitato ad abilitare i servizi di accessibilità per la nuova app.

I servizi di accessibilità sono progettati per assistere gli utenti con disabilità offrendo modi alternativi di interagire con i loro dispositivi. Tuttavia, quando vengono sfruttati da app malevole come TrickMo, questi servizi possono concedere un controllo esteso sul dispositivo. Questa elevata autorizzazione consente a TrickMo di eseguire varie azioni dannose, come intercettare i messaggi SMS, gestire le notifiche per intercettare o nascondere i codici di autenticazione ed eseguire attacchi di overlay HTML per rubare le credenziali degli utenti. Inoltre, il malware può disattivare le schermate di blocco e accettare automaticamente le autorizzazioni, permettendogli di integrarsi senza problemi nelle operazioni del dispositivo.

L'abuso dei servizi di accessibilità consente anche al malware di disabilitare funzioni di sicurezza cruciali e aggiornamenti di sistema, concedere automaticamente le autorizzazioni a piacimento e impedire la disinstallazione di alcune app.

L'analisi di Cleafy ha inoltre rilevato configurazioni errate nel server di comando e controllo (C2) che hanno permesso di accedere a 12 GB di dati sensibili esfiltrati dai dispositivi, inclusi credenziali e immagini, senza richiedere alcuna autenticazione. Il server C2 ospita anche i file HTML utilizzati negli attacchi di overlay. Questi file includono pagine di login false per vari servizi, tra cui banche come ATB Mobile e Alpha Bank e piattaforme di criptovalute come Binance.

La violazione della sicurezza non solo evidenzia un errore operativo (OPSEC) da parte degli attori minacciosi, ma mette anche a rischio i dati delle vittime da parte di altri attori minacciosi.

La vasta quantità di informazioni esposte dall'infrastruttura C2 di TrickMo potrebbe essere sfruttata per commettere furti d'identità, infiltrarsi in vari account online, effettuare trasferimenti di fondi non autorizzati e persino effettuare acquisti fraudolenti. Ancora peggio, gli attaccanti potrebbero dirottare gli account e bloccare le vittime fuori dai loro account reimpostando le password.

Utilizzando informazioni personali e immagini, l'attaccante può creare messaggi convincenti che inducono le vittime a divulgare ulteriori informazioni o a eseguire azioni dannose. Sfruttare questi dati personali completi comporta danni finanziari e reputazionali immediati e conseguenze a lungo termine per le vittime, rendendo il recupero un processo complesso e prolungato.