Evololucija TrickMo Android bankarskog trojanca

Cleafy Threat Intelligence tim sigurnosnih istraživača je otkrio TrickMo Android bankarski trojanac, poznat po svojim inovativnim tehnikama izbjegavanja i obmanjujućim ekranima za prijavu, ima za cilj da ukrade osjetljive bankarske informacije od korisnika koji ništa ne sumnjaju. Ovaj zlonamjerni softver je posebno dizajniran za Android uređaje i predstavlja ozbiljnu prijetnju za korisnike zbog svoje sofisticirane prirode i sposobnosti efikasnog ciljanja bankarskih aplikacija.

TrickMo malware

Evololucija TrickMo Android bankarskog trojanca; Source: Bing Image Creator

TRICKMO BANKARSKI TROJANAC

TrickMo je sofisticirani zlonamjerni softver je otkriven od strane CERT-Bund 2019. godine i tada je već pokazao potencijal za napredne mogućnosti i značajnu prijetnju korisnicima. Sada je predstavljanjem naprednih mehanizama protiv analize u novoj verziji pokazao i kontinuiranu evoluciju u okruženju sajber prijetnji.

 

Fokus i Distribucija

Zlonamjerni softver je prvenstveno fokusiran na korisnike koji govore njemački i engleski na šta ukazuju jezici i tekstualni filteri koji se nalaze u konfiguracijskoj datoteci. Ovo sugeriše da se potencijalne žrtve korisnici koji žive u Njemačkoj, Austriji, Švajcarskoj, Ujedinjenom Kraljevstvu ili Sjedinjenim Američkim Državama.

Distribucija ovog zlonamjernog softvera se odvija pod maskom instalera Google Chrome pregledača, a ustvari je riječ o ubacivaču (eng. dropper). Nakon instalacije na uređaj, korisnicima predstavlja obmanjujući upit za ažuriranje za Google Play usluge i zahtjeva administrativne kontrole kako bi se obezbijedio neometan pristup. Jednom instaliran, TrickMo funkcioniše kao bankarski trojanac, ali ispoljava karakteristike koje su bliže onima kod kradljivaca informacija. Ovo je samo još jedan podsjetnik na potrebu za oprezom prilikom preuzimanja i instaliranja aplikacija iz nepoznatih izvora.

 

Funkcionisanje

Nakon instalacije TrickMo otkriva svoju pravu prirodu iskorištavajući Android usluge pristupačnosti da bi sebi dodijelio povišene dozvole, manipulisao unosima korisnika i presreo osjetljive podatke iz drugih aplikacija. To ga čini izuzetno snažnom prijetnjom, posebno kada cilja na bankarske aplikacije.

Primarna funkcija TrickMo zlonamjernog softvera uključuje presretanje jednokratnih lozinki za internet bankarske usluge, snimanje ekrana, evidentiranje pritisaka na tastere i daljinski pristup zaraženim uređajima. Komunicira sa svojim serverom za komandu i kontrolu (C2) koristeći POST metod, šaljući informacije o uređaju kao JSON do krajnje tačke dok prima komande. Jedna jedinstvena karakteristika TrickMo zlonamjernog softvera je njegova upotreba konfiguracijske datoteke Clicker (clicker.json), koju koristi za automatizaciju radnji preko usluge pristupačnosti.

Radnje definisane u ovoj datoteci mogu se kategorisati u nekoliko tipova korisnih opterećenja: blokiranje sistemskih ažuriranja (npr. Samsung Update), onemogućavanje bezbjednosnih funkcija i sprečavanje drinstalacije određenih aplikacija. Ovo omogućava zlonamjernom softveru da sa lakoćom cilja i sistemske i uslužne aplikacije. Njegove mogućnosti se protežu dalje od tipičnih bankarskih trojanskih funkcija, obuhvatajući presretanje SMS poruka, preuzimanje fotografija, snimanje ekrana, daljinski pristup i HTML napade sa preklapanjem za krađu akreditiva. TrickMo može da manipuliše podrazumijevanom SMS aplikacijom na inficiranom uređaju, preuzima liste instaliranih aplikacija i vrši klikove i pokrete po želji.

Posebno, treba obratiti pažnju na njegov C2 server čuva podatke koji su eksfiltrirani od žrtava, uključujući evidencije, akreditive i fotografije. Zanimljivo je da na C2 serveru nedostaje bilo kakav oblik autentifikacije, što potencijalno izlaže ukradene informacije većem broju zlonamjernih aktera i potencijalno izlaže žrtve višestrukim prijetnjama, povećavajući vjerovatnoću ugrožavanja podataka i krađe identiteta. Sigurnosni istraživači su uspjeli da dođu do 12 GB korisničkih podataka.

Ista infrastruktura koja se koristi za botnet kontrolu i preuzimanje dodatnih konfiguracija takođe se koristi za skladištenje podataka eksfiltriranih sa uređaja žrtve. Ova upotreba resursa u dvostruke svrhe naglašava TrickMo efikasnost u održavanju niskog profila uz maksimiziranje njegovih mogućnosti.

Jedna od najintrigantnijih karakteristika TrickMo zlonamjernog softvera je njegova kontinuirana evolucija, očigledna u njegovim naprednim tehnikama zamagljivanja. Da bi izbjegao otkrivanje, koristi sofisticirane metode sakrivanja kôda koje analizu sigurnosnih istraživača čine izuzetno izazovnom. To se odnosi na korištenje deformisanih ZIP datoteka u kombinaciji sa JSONPacker-om, što omogućava trojancu da efikasno izbjegne detekciju od strane bezbjednosnih sistema. Ova prilagodljivost naglašava otpornost i sposobnost zlonamjernog softvera da ostane korak ispred potencijalnih protivmjera.

 

ZAKLJUČAK

Najnovija varijanta TrickMo zlonamjernog softvera služi kao vrhunski primjer da zlonamjerni akteri nastavljaju da osmišljavaju sofisticiranije metode za obavljanje svojih zlonamjernih aktivnosti. Iako TrickMo zadržava tipične funkcionalnosti Android bankovnog trojanca, podaci prikupljeni sa zaraženih uređaja mogu omogućiti zlonamjernom akteru da preduzme dodatne radnje, kompromitujući žrtvu na više nivoa. Zlonamjerni softver je prvenstveno fokusiran na korisnike koji govore njemački i engleski, pa bi potencijalne žrtve mogli biti korisnici koji žive u Njemačkoj, Austriji, Švajcarskoj, Ujedinjenom Kraljevstvu ili Sjedinjenim Američkim Državama.

Jedna od najneposrednijih posljedica infekcije TrickMo zlonamjernim softverom su kupovine izvršene korištenjem bankarskih informacija žrtve. Zlonamjerni akteri mogu da koriste ove podatke za vršenje neovlaštenih transakcija, iscrpljivanje računa žrtava i nanošenje značajne finansijske štete. Još gore, zlonamjerni akteri bi mogli da otmu naloge i zaključaju žrtve tako što će resetovati njihove lozinke. Ovo ne samo da dovodi do trenutnog finansijskog gubitka, već predstavlja i rizik od dugoročnih posljedica za žrtvu, jer oporavak od takvog incidenta može biti složen i dugotrajan proces. Infrastruktura koju koristi ovaj zlonamjerni softver predstavlja još jedan značajan rizik za žrtve zbog nedostatka autentifikacije na C2 serveru, što potencijalno izlaže ukradene informacije većem broju zlonamjernih aktera i potencijalno izlaže žrtve višestrukim prijetnjama.

Kako TrickMo nastavlja da se razvija, ključno je da korisnici ostanu informisani o njegovim taktikama i da u skladu s tim prilagode svoju odbranu. Korisnici takođe moraju da budu oprezni kada preuzimaju aplikacije iz nepoznatih izvora i da budu oprezni u pogledu bilo kakvih neočekivanih upita ili upozorenja tokom procesa instalacije.

 

ZAŠTITA

U okruženju sajber prijetnji koje se brzo razvija, za korisnike je ključno da održavaju visok nivo budnosti i usvoje proaktivne bezbjednosne mjere kako bi zaštitili svoje uređaje i osjetljive informacije od prijetnje kao što je bankarski trojanac poznat kao TrickMo. U nastavku će biti navedeno nekoliko mjera koje se mogu primijeniti za zaštitu od ovog zlonamjernog softvera:

  1. Korisnici Android operativnog sistema treba da izbjegavaju instalaciju aplikacija iz nezvaničnih izvora i prodavnica aplikacija trećih strana i da se drže pouzdanih platformi kao što je Google Play prodavnica, koje primjenjuje procese pregleda aplikacija i bezbjednosne mjere. Iako ovo ne garantuje potpunu zaštitu, smanjuje rizik od preuzimanja zlonamjernih aplikacija,
  2. Prije instalacije aplikacije, korisnici trebaju da dobro pogledaju politiku privatnosti koju će aplikacija primjenjivati. Takođe, tokom instalacije aplikacije veoma je važno obratiti pažnju na podatke i dozvole kojima aplikacija traži pristup i postaviti sebi pitanja da li su ti podaci i dozvole neophodni za funkcionisanje aplikacije, jer TrickMo može da iskoristi Android usluge pristupačnosti za dobijanje povišenih dozvola, manipulisanje korisničkim unosima i snimanje podataka iz drugih aplikacija,
  3. Izbjegavati klikanje na sumnjive veze primljene putem elektronske pošte, tekstualnih poruka ili nepoznatih izvora, jer one potencijalno mogu da dovedu do zlonamjernih internet lokacija dizajniranih da zaraze uređaj trojancima i drugim zlonamjernim softverom kao što je TrickMo,
  4. Koristiti renomiran antivirusni softver na Android uređaju. Redovno ažurirati antivirusni softver kako bi bio u mogućnosti otkriti i spriječiti infiltraciju bankarskih trojanaca, uključujući TrickMo i druge prijetnje,
  5. Biti oprezan sa prilozima elektronske pošte, jer oni mogu sadržati zlonamjerne datoteke koje mogu da zaraze uređaj zlonamjernim softverom,
  6. Pošto TrickMo prvenstveno cilja na Android uređaje, neophodno je da budu obezbijeđeni omogućavanjem zaključanog ekrana i postavljanjem jake lozinke ili korištenjem metoda biometrijske autentifikacije kao što su skeniranje otiska prsta ili prepoznavanje lica,
  7. Redovno ažurirati Android operativni sistem i instalirane aplikacije kako bi se osiguralo da su instalirana najnovija bezbjednosna ažuriranja i ispravke za poznate propuste koje bi TrickMo mogao iskoristiti,
  8. Biti pažljiv kada se koriste aplikacije za mobilno bankarstvo, odjavljujući se nakon svake sesije i izbjegavanjem njihovog korištenja na javnim Wi-Fi mrežama ili nebezbjednim vezama, jer one mogu da pruže priliku da osjetljive informacije budu presretnute,
  9. Omogućiti autentifikaciju u dva koraka (eng. Two-Factor Authentication – 2FA), jer onda dodaje dodatni sloj bezbjednosti aplikacijama za mobilno bankarstvo, što otežava TrickMo i drugom zlonamjernom softveru da dobiju pristup korisničkim nalozima čak i ako uspiju da ukradu lozinke,
  10. Redovno pratiti aktivnost bankarskog naloga za bilo kakve neobične ili neovlaštene transakcije, jer bi to moglo biti znak da se TrickMo infiltrirao u uređaj i pokušava da ukrade vaše osjetljive informacije,
  11. Korisnici treba da budu informisani o najnovijim prijetnjama, uključujući TrickMo zlonamjerni softver, čitajući bezbjednosne blogove, prateći renomirane stručnjake za sajber bezbjednost na društvenim medijima i pohađajući vebinare ili radionice vezane za bezbjednost i bezbjednost na mreži. Ovo će pomoći da korisnici ostanu oprezni i da se proaktivno zaštitite od novih prijetnji kao što je TrickMo.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.