Quarante nouvelles variantes du cheval de Troie bancaire TrickMo Android ont été identifiées dans la nature, liées à 16 droppers et 22 infrastructures distinctes de commande et de contrôle (C2), avec de nouvelles fonctionnalités conçues pour voler des codes PIN Android.

Ceci est rapporté par Zimperium, à la suite d’un rapport antérieur de Cleafy qui a examiné certaines variantes, mais pas toutes, actuellement en circulation.

TrickMo a été documenté pour la première fois par IBM X-Force en 2020, mais on pense qu’il a été utilisé dans des attaques contre des utilisateurs d’Android depuis au moins septembre 2019.

Un faux écran de verrouillage vole des épingles Android
Les principales fonctionnalités de la nouvelle version de TrickMo incluent l’interception de mot de passe à usage unique (OTP), l’enregistrement d’écran, l’exfiltration de données, le contrôle à distance, etc.

Le logiciel malveillant tente d’abuser de la puissante autorisation du service d’accessibilité pour s’accorder des autorisations supplémentaires et appuyer automatiquement sur les invites si nécessaire.

En tant que cheval de Troie bancaire, il sert aux utilisateurs des superpositions d’écrans de connexion de phishing à diverses banques et instituts financiers pour voler leurs informations d’identification de compte et permettre aux attaquants d’effectuer des transactions non autorisées.

Superpositions bancaires utilisées dans les attaques

Les analystes de Zimperium disséquant ces nouvelles variantes rapportent également un nouvel écran de déverrouillage trompeur imitant la véritable invite de déverrouillage Android, conçu pour voler le modèle de déverrouillage ou le code PIN de l’utilisateur.

« L’interface utilisateur trompeuse est une page HTML hébergée sur un site Web externe et affichée en mode plein écran sur l’appareil, ce qui la fait ressembler à un écran légitime », explique Zimperium.

« Lorsque l’utilisateur saisit son schéma de déverrouillage ou son code PIN, la page transmet les détails du code PIN ou du modèle capturés, ainsi qu’un identifiant unique de l’appareil (l’IDENTIFIANT Android) à un script PHP. »

Faux écran de verrouillage Android affiché par trickmonet

Voler le code PIN permet aux attaquants de déverrouiller l’appareil lorsqu’il n’est pas activement surveillé, éventuellement en fin de journée, pour effectuer une fraude sur l’appareil.

Victimes exposées
En raison d’une infrastructure C2 mal sécurisée, Zimperium a également pu déterminer qu’au moins 13 000 victimes, la plupart situées au Canada et un nombre important également aux Émirats arabes Unis, en Turquie et en Allemagne, sont touchées par ce logiciel malveillant.

Carte thermique des victimes de Trick Mo

Ce nombre correspond à « plusieurs serveurs C2 », selon Zimperium, donc le nombre total de victimes de TrickMo est probablement plus élevé.

« Notre analyse a révélé que le fichier de liste d’adresses IP est régulièrement mis à jour chaque fois que le logiciel malveillant réussit à exfiltrer les informations d’identification », explique Zimperium.

« Nous avons découvert des millions d’enregistrements dans ces fichiers, indiquant le grand nombre d’appareils compromis et la quantité substantielle de données sensibles consultées par l’auteur de la menace. »

Cleafy avait précédemment caché au public des indicateurs de compromission en raison de l’infrastructure C2 mal configurée qui pourrait exposer les données des victimes à la communauté plus large de la cybercriminalité. Zimperium a maintenant choisi de tout publier dans ce référentiel GitHub.

Cependant, la portée du ciblage de TrickMo semble suffisamment large pour englober les types d’applications (et les comptes) au-delà des services bancaires, y compris les VPN, les plateformes de streaming, les plateformes de commerce électronique, le trading, les médias sociaux, le recrutement et les plateformes d’entreprise.

Cleafy avait précédemment caché au public des indicateurs de compromission en raison de l’infrastructure C2 mal configurée qui pourrait exposer les données des victimes à la communauté plus large de la cybercriminalité, mais Zimperium a maintenant choisi de tout publier sur ce référentiel GitHub.

TrickMo se propage actuellement par hameçonnage, donc pour minimiser les risques d’infection, évitez de télécharger des APK à partir d’URL envoyées par SMS ou messages directs par des personnes que vous ne connaissez pas.

Google Play Protect identifie et bloque les variantes connues de TrickMo, il est donc crucial de s’assurer qu’il est actif sur l’appareil pour se défendre contre les logiciels malveillants.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *