Експерти з кібербезпеки компанії Zimperium виявили 40 нових модифікацій небезпечного банківського трояна TrickMo для операційної системи Android. Ці варіанти малware пов’язані з 16 різними дропперами та 22 окремими командно-контрольними інфраструктурами. Найбільш тривожним є поява нових функцій, спрямованих на викрадення PIN-кодів користувачів, що суттєво підвищує ризики для фінансової безпеки.
Історія та еволюція TrickMo
Вперше банківський троян TrickMo був зафіксований фахівцями IBM X-Force у 2020 році. Проте дослідники припускають, що він міг використовуватися для атак на користувачів Android щонайменше з вересня 2019 року. За цей час шкідливе програмне забезпечення значно еволюціонувало, розширивши свій арсенал кіберзагроз.
Нові можливості та методи атак
Ключовими особливостями оновлених версій TrickMo стали:
- Перехоплення одноразових паролів (OTP)
- Запис екрану пристрою
- Викрадення конфіденційних даних
- Віддалене управління зараженим пристроєм
- Використання Accessibility Service для отримання додаткових дозволів
- Автоматизація взаємодії з елементами інтерфейсу
TrickMo залишається насамперед банківським трояном, використовуючи фішингові оверлеї для імітації екранів входу в різні фінансові додатки. Це дозволяє викрадати облікові дані жертв та здійснювати несанкціоновані операції. Однак спектр атак розширився і тепер охоплює не лише банківські програми, а й VPN-сервіси, стрімінгові платформи, сайти електронної комерції, трейдингові платформи, соціальні мережі та корпоративні ресурси.
Нова тактика викрадення PIN-кодів
Особливу увагу експертів привернула нова фішингова техніка, спрямована на викрадення PIN-кодів та графічних ключів розблокування Android-пристроїв. Зловмисники використовують HTML-сторінку, розміщену на зовнішньому веб-сайті, яка відображається в повноекранному режимі, імітуючи справжній екран розблокування. Коли користувач вводить свій PIN-код або графічний ключ, дані перехоплюються та передаються атакуючим разом з унікальним ідентифікатором пристрою (Android ID) за допомогою PHP-скрипта.
Масштаби загрози та географія атак
Аналіз незахищеної командно-контрольної інфраструктури TrickMo дозволив дослідникам оцінити масштаби загрози. Щонайменше 13 000 користувачів вже стали жертвами цього шкідливого ПЗ. Найбільша кількість постраждалих зафіксована в Канаді, ОАЕ, Турції та Німеччині. Проте експерти Zimperium вважають, що реальна кількість жертв може бути значно вищою.
Аналіз файлів зі списками IP-адрес, які оновлюються при кожному успішному викраденні облікових даних, виявив мільйони записів. Це свідчить про величезну кількість скомпрометованих пристроїв та значний обсяг конфіденційної інформації, доступ до якої отримали зловмисники.
Наразі основним вектором поширення TrickMo залишається фішинг. Експерти з кібербезпеки наполегливо рекомендують користувачам Android-пристроїв бути вкрай обережними та уникати завантаження APK-файлів з підозрілих джерел, особливо за посиланнями, отриманими через SMS або повідомлення в месенджерах від незнайомців. Підвищена пильність та дотримання базових правил цифрової гігієни залишаються ключовими факторами захисту від подібних кіберзагроз.