Investigadores de ciberseguridad han descubierto una nueva variante de un troyano bancario para Android llamado TrickMo que viene equipado con nuevas capacidades para evadir el análisis y mostrar pantallas de inicio de sesión falsas para capturar las credenciales bancarias de las víctimas.
TrickMo, detectado por primera vez por CERT-Bund en septiembre de 2019, tiene antecedentes de atacar dispositivos Android, en particular a usuarios en Alemania para robar contraseñas de un solo uso (OTP) y otros códigos de autenticación de dos factores (2FA) para facilitar el fraude financiero.
Se considera que este malware enfocado en dispositivos móviles es obra de la ahora desaparecida banda de delitos electrónicos TrickBot, que con el tiempo ha mejorado continuamente sus funciones de ofuscación y antianálisis para pasar desapercibido.
Entre sus características, destacan su capacidad para registrar la actividad de la pantalla, registrar las pulsaciones de teclas, recopilar fotos y mensajes SMS, controlar de forma remota el dispositivo infectado para realizar fraudes en el dispositivo (ODF) y abusar de la API de servicios de accesibilidad de Android para llevar a cabo ataques de superposición HTML, así como realizar clics y gestos en el dispositivo.
La aplicación maliciosa descubierta por la empresa de ciberseguridad italiana se hace pasar por el navegador web Google Chrome que, cuando se inicia después de la instalación, insta a la víctima a actualizar los servicios de Google Play haciendo clic en el botón Confirmar.
Si el usuario procede a actualizar, se descarga en el dispositivo un archivo APK que contiene la carga útil TrickMo bajo la apariencia de «Servicios de Google», tras lo cual se le solicita al usuario que habilite los servicios de accesibilidad para la nueva aplicación.
Además, el abuso de los servicios de accesibilidad permite al malware desactivar funciones de seguridad cruciales y actualizaciones del sistema, otorgar permisos automáticamente a voluntad y evitar la desinstalación de ciertas aplicaciones.
El análisis de Cleafy también descubrió errores de configuración en el servidor de comando y control (C2) que permitieron acceder a 12 GB de datos confidenciales extraídos de los dispositivos, incluidas credenciales e imágenes, sin necesidad de autenticación.
El servidor C2 también aloja los archivos HTML utilizados en los ataques de superposición. Estos archivos incluyen páginas de inicio de sesión falsas para varios servicios, incluidos bancos como ATB Mobile y Alpha Bank y plataformas de criptomonedas como Binance.
La falla de seguridad no solo resalta el error de seguridad operativa (OPSEC) por parte de los actores de amenazas, sino que también pone los datos de las víctimas en riesgo de ser explotados por otros actores de amenazas.
La gran cantidad de información expuesta de la infraestructura C2 de TrickMo podría aprovecharse para cometer robo de identidad, infiltrarse en varias cuentas en línea, realizar transferencias de fondos no autorizadas e incluso realizar compras fraudulentas. Peor aún, los atacantes podrían secuestrar las cuentas y bloquear a las víctimas restableciendo sus contraseñas.
La revelación se produce mientras Google ha estado tapando los agujeros de seguridad en torno a la carga lateral para permitir que los desarrolladores externos determinen si sus aplicaciones se cargan lateralmente mediante la API Play Integrity y, de ser así, exigir a los usuarios que descarguen las aplicaciones de Google Play para seguir usándolas.
