Il trojan bancario TrickMo ha recentemente catturato l'attenzione degli esperti di sicurezza a causa delle sue nuove funzionalità che gli permettono di rubare il pattern di sblocco o il PIN dei dispositivi Android. Scoperto per la prima volta nel 2019, TrickMo è associato al gruppo di cybercriminali TrickBot e offre agli hacker la possibilità di ottenere il controllo remoto dei dispositivi infetti. Questo malware è noto per rubare password monouso (OTP) basate su SMS e per utilizzare schermate sovrapposte per catturare le credenziali, sfruttando i servizi di accessibilità di Android. Recentemente, la società di sicurezza informatica italiana Cleafy ha rivelato che le varianti aggiornate di TrickMo hanno migliorato i meccanismi di evasione delle analisi e si sono dotate di permessi aggiuntivi per eseguire azioni malevole sui dispositivi, come transazioni non autorizzate.

Strategie del malware

Una delle strategie adottate dai nuovi varianti del malware è quella di presentare un'interfaccia utente ingannevole che imita la schermata di sblocco del dispositivo. Questa interfaccia è in realtà una pagina HTML ospitata su un sito web esterno e viene visualizzata a schermo intero, dando l'impressione di essere legittima. Quando gli utenti ignari inseriscono il loro pattern di sblocco o PIN, le informazioni vengono inviate a un server controllato dagli hacker tramite una richiesta HTTP POST. Gli esperti di Zimperium hanno scoperto che la mancanza di protezioni adeguate per i server di comando e controllo ha permesso di ottenere una visione sui dati memorizzati, che includono circa 13.000 indirizzi IP unici geolocalizzati principalmente in Canada, Emirati Arabi Uniti, Turchia e Germania.

Implicazioni e pericoli

Queste credenziali rubate non si limitano alle informazioni bancarie, ma comprendono anche quelle utilizzate per accedere a risorse aziendali come VPN e siti web interni. Questo sottolinea l'importanza critica di proteggere i dispositivi mobili, che possono rappresentare un punto di ingresso primario per attacchi informatici alle organizzazioni. TrickMo, infatti, prende di mira dati provenienti da applicazioni di diverse categorie tra cui banking, aziendale, e-commerce, social media, streaming, telecomunicazioni e sanità.

Evoluzione del malware bancario

Questa evoluzione si verifica nel contesto dell'emergere di una nuova campagna di malware bancario Android chiamata ErrorFather, che utilizza una variante di Cerberus per condurre frodi finanziarie. Symantec, di proprietà di Broadcom, ha sottolineato il pericolo persistente del malware riutilizzato, poiché i cybercriminali continuano a sfruttare il codice sorgente trapelato anni dopo la scoperta del malware originale Cerberus. Secondo i dati di Zscaler ThreatLabz, gli attacchi mobili motivati finanziariamente che coinvolgono malware bancario hanno registrato un aumento del 29% tra giugno 2023 e aprile 2024 rispetto all'anno precedente, con l'India come principale bersaglio.