Nova varijanta: TrickMo bankarski trojanac

AUTOR ·

Sigurnosni istraživači kompanije Zimperium su otkrili alarmantno povećanje novih varijanti bankarskog trojanca za Android TrickMo. Ovaj zlonamjerni softver je prvenstveno dizajniran za krađu osjetljivih informacija kao što su Android PIN-ovi sa potencijalno razornim poledicama za korisnike koji ništa ne sumnjaju.

TrickMo

Nova varijanta: TrickMo bankarski trojanac; Source: Bing Image Creator

TRICKMO BANKARSKI TROJANAC

Prvi put dokumentovan 2019. godine, TrickMo zlonamjerni softver je tako nazvan po povezanosti sa grupom za sajber kriminal TrickBot i sposoban je da dodjeli daljinsku kontrolu nad zaraženim uređajima, kao i da krade jednokratne lozinke (eng. one-time passwords – OTP) zasnovane na SMS porukama i prikazuje ekrane sa preklapanjem za uhvatiti akreditive zloupotrebom Android usluga pristupačnosti.

Prošlog mjeseca, sigurnosna kompanija Cleafy je otkrila ažurirane verzije TrickMo zlonamjernog softvera sa poboljšanim mehanizmima za izbjegavanje analize i dodjeljivanje dodatnih dozvola za obavljanje raznih zlonamjernih radnji na uređaju, uključujući izvođenje neovlaštenih transakcija. Kako kompanija Cleafy nije objavila indikatore kompromisa (eng. Indicators of Compromise – IOC), sigurnosni istraživači kompanije Zimperium su sproveli svoje istraživanje u kojem su otkrili nove uzroke koji do sada nisu bili otkriveni.

 

TrickMo nova varijanta

Sigurnosni istraživači kompanije Zimperium su otkrili 40 novih varijanti TrickMo zlonamjernog softvera, pri čemu svaka varijanta dodaje ovu moćnu funkciju. Izvještaj je otkrio ogromnih 13.000 žrtava za koje se zna da su pogođene zlonamjernim softverom , od kojih je većina bila u Kanadi, ali su uključivali i korisnike iz Ujedinjenih Arapskih Emirata, Turske i Njemačke. Sigurnosni istraživači su otkrili milione zapisa vezanih za korisnike, što ukazuje na veliki broj kompromitovanih uređaja i značajnu količinu osjetljivih podataka kojima je pristupio zlonamjerni akter.

 

Distribucija

TrickMo zlonamjerni softver se prvenstveno distribuira putem phishing tehnika. Zlonamjerni akteri šalju elektronsku poštu ili poruke pretvarajući se da potiču od poznatih organizacija u pokušaju da prevare korisnike da nesvjesno preuzmu zlonamjerni softver. Zbog toga je vlasnike Android uređaja je od suštinskog značaja da budu budni i oprezni kada otvaraju neočekivane elektronske poruke, posebno one koje sadrže veze ili priloge.

 

Funkcionisanje

Najnovija varijanta TrickMo zlonamjernog softvera uvela je nekoliko novih funkcija koje poboljšavaju njegove mogućnosti. Jedan značajan dodatak je presretanje jednokratnih lozinki (OTP), kritične komponente autentifikaciju u dva koraka (eng. two-factor authentication – 2FA) koju koriste mnoge bankarske institucije za dodatnu sigurnost.

Štaviše, TrickMo koristi snimanje ekrana i druge napredne tehnike za prikupljanje više podataka za potencijalne dalje napade. Zlonamjerni softver koristi obmanjujuće korisničko okruženje koje je HTML stranica uskladištena na spoljnoj internet lokaciji koja se prikazuje u režimu cijelog ekrana na uređaju da bi izgledala legitimno. Ovaj lažni zaključani ekran izgleda autentično, što otežava žrtvama da razlikuju pravi i od falsifikata.

Kada korisnici unesu svoj obrazac za otključavanje ili PIN, ove informacije zajedno sa jedinstvenim identifikatorom uređaja (eng. Android ID) se prenose u PHP skriptu. Krađom ovih akreditiva, zlonamjerni akteri mogu da otključaju uređaj čak i kada se ne nadgleda aktivno i potencijalno počine prevaru ili prikupe dodatne informacije za opsežnije napade, posebno tokom kasnih sati.

TrickMo zlonamjerni softver koristi dozvole za uslugu pristupačnosti uređaja da bi dobio dodatnu kontrolu nad pogođenim Android uređajima. Na taj način može automatski da pokrene upite bez intervencije korisnika, što mu omogućava da zaobiđe mjere bezbjednosti i izvrši radnje neotkriveno. Jednom u sistemu, TrickMo zlonamjerni softver predstavlja korisnicima phishing ekrane za prijavu za različite banke u pokušaju da ukradu njihove akreditive za neovlaštene transakcije.

 

Uticaj

Implikacije krađe obrasca za otključavanje ili PIN-a su ozbiljne, jer zlonamjerni akteri mogu daljinski otključati uređaje kada se ne nadgledaju aktivno. Ovo im omogućava da počine prevaru, posebno tokom kasnih noćnih sati kada korisnici možda spavaju ili su manje pažljivi. Sigurnosni istraživači su sproveli opsežno istraživanje ovih novih TrickMo varijanti i otkrila milione zapisa o kompromitovanim uređajima, što ukazuje na alarmantno veliki broj pogođenih uređaja i osjetljivih podataka kojima su pristupili zlonamjerni akteri.

Širina ciljanja zlonamjernog softvera TrickMo je vrijedna pažnje, jer prikuplja podatke iz aplikacija koje obuhvataju više kategorija kao što su bankarstvo, preduzeća, posao i zapošljavanje, e-trgovina, trgovina, društveni mediji, striming i zabava, VPN, vlada, obrazovanje, telekomunikacije i zdravstvena zaštita.

Treba takođe imati na umu da pojava TrickMo zlonamjernog softvera dolazi usred uspona još jedne Android bankarske trojanske kampanje: ErrorFather. Ovaj zlonamjerni softver koristi Cerberus varijantu za finansijsku prevaru, naglašavajući stalnu opasnost od prenamjenskog zlonamjernog softvera, jer zlonamjerni akteri nastavljaju da iskorištavaju izvorni kôd koji je procurio godinama nakon što je originalni Cerberus zlonamjerni softver otkriven.

Finansijski motivisani mobilni napadi koji uključuju bankarski zlonamjerni softver zabilježili su skok od 29% u periodu od juna 2023. godine do aprila 2024. godine, u poređenju sa prethodnom godinom. Indija se pojavila kao glavna meta za ove napade i doživjela je 28% svih incidenata, a slede SAD, Kanada, Južna Afrika, Holandija, Meksiko, Brazil, Nigerija, Singapur i Filipini.

 

ZAKLJUČAK

Primarni cilj TrickMo zlonamjernog softvera ostaje isti: da ukrade bankarske akreditive od svojih žrtava. To postiže tako što prikazuje phishing ekrane za prijavu za različite banke i finansijske institucije. Kada korisnik unese detalje svog naloga, napadači prikupljaju ove osjetljive informacije, omogućavajući im da obavljaju neovlaštene transakcije. Njegova sposobnost da presretne jednokratne lozinke (OTP), snima ekrane, daljinski kontroliše pogođene uređaje i krade obrasce/PIN-ove za otključavanje uređaja čini ga jednim od najopasnijih oblika zlonamjernog softvera koji je trenutno u opticaju.

U nastojanju da proširi svoj domet i poveća broj potencijalnih meta, utvrđeno je da TrickMo uticao na najmanje 13.000 žrtava u različitim regionima širom sveta. Većina ovih žrtava nalazi se u Kanadi, a značajan broj je takođe prijavljen u Ujedinjenim Arapskim Emiratima, Turskoj i Njemačkoj. Sam porast napada na mobilne uređaje za 29% u periodu od 10 mjeseci (jun 2023. godine do april 2024. godine) pokazuje da zlonamjerni akteri imaju značajnu korist od ovih napada.

Pojava ovog trojanca naglašava stalnu opasnost od mobilnog zlonamjernog softvera i naglašava važnost preduzimanja mjera predostrožnosti prilikom preuzimanja aplikacija iz nepoznatih izvora. Samo informisani korisnici koji usvajaju najbolje prakse za bezbjednost na internetu, uz zdrav oprez mogu zajednički raditi na smanjenju uticaja zlonamjernih aplikacija kao što je TrickMo u digitalnom prostoru. Kako se prijetnje nastavljaju razvijati, ključno je da pojedinci i organizacije podjednako daju prioritet mjerama sajber bezbjednosti kako bi zaštitili svoje osjetljive podatke od ovih upornih prijetnji.

 

ZAŠTITA

Kako bi zaštitili svoj Android uređaj i uređaje članove porodice od štetnih efekata zlonamjernog softvera TrickMo, korisnici bi trebalo da se pridržavate niza preporučenih praksi koje će im pomoći da smanje rizik od toga da postanu žrtva ove sajber prijetnje. Evo nekoliko preporuka o tome kako se korisnici Android uređaja mogu zaštititi:

  1. Uvijek biti oprezni kada se primaju neželjena elektronska pošta ili poruke, posebno one za koje se tvrdi da potiču od poznatih organizacija. Ova komunikacija može da sadrži zlonamjerne veze koje potencijalno mogu da preuzmu TrickMo zlonamjerni softver na uređaj. Ako se korisnik nađe u nedoumici, bolje je da ne klikne na sumnjive veze,
  2. Preporuka je da se ne preuzimaju i ne instaliraju Android aplikacije putem SMS veza ili direktnih poruka koje šalju nepoznate osobe. Korisnici bi trebalo isključivo koristiti Google Play prodavnicu za sve potrebe instalacije aplikacija, jer nudi bezbjednije okruženje sa ugrađenim bezbjednosnim mjerama kao što je Google Play Protect,
  3. Uvjeriti se da je Google Play Protect zaštita aktivna i da radi na uređaju, jer ova usluga može pomoći da se identifikuju i blokiraju poznate varijante TrickMo zlonamjernog softvera. Kako bi se provjerilo da li je ova zaštita omogućena potrebno je otići u aplikaciju Google Play prodavnicu > Menu (tri horizontalne linije) > Play Protect > i uključiti“Scan apps with Play Protect”,
  4. Pored ugrađene zaštite kao što je Google Play Protect zaštita, potrebno je razmisliti o korišćenju digitalnih bezbjednosnih rješenja nezavisnih proizvođača koja nude sveobuhvatnu zaštitu od krađe identiteta, prevara i prijetnji na internetu za cijelu porodicu. Ove usluge mogu pružiti dodatni sloj odbrane po pristupačnoj cijeni,
  5. Uvijek održavajte svoj Android operativni sistem i aplikacije ažurnim, jer ažuriranja često uključuju bezbjednosne ispravke koje pomažu u zaštiti od poznatih ranjivosti koje koristi zlonamjerni softver kao što je TrickMo. Kako bi se provjerilo da li postoje ažuriranja, potrebno je otići na Settings > System Updates ili App Updates u zavisnosti od modela uređaja koji je u upotrebi,
  6. Zlonamjerni akteri koriste lukav sistem za otključavanje koji oponaša Android verzije da bi dobili daljinski pristup uređajima zaraženim TrickMo zlonamjernim softverom. Da bi se smanjio ovaj rizik, potrebno je izbjegavati dijeljenje šablona za otključavanje ili PIN-a sa bilo kim i uvjeriti se da je dovoljno jedinstven i složen da spriječi neovlašteni pristup,
  7. Redovno praviti rezervne kopije važnih podataka, jer u slučaju da zlonamjerni softver TrickMo ugrozi uređaj, redovno pravljenje rezervnih kopija bitnih podataka može pomoći da se lakše povrateizgubljene informacije. U tu svrhu moguće je koristiti usluge skladištenja u oblaku kao što su Google Drive ili OneDrive,
  8. Potrebno je obrazovati sebe i druge o sajber prijetnjama. To znači da treba biti informisan o najnovijim trendovima u sajber bezbjednosti i prijetnjama kao što je TrickMo čitajući pouzdane izvore, pohađajući radionice ili pohađajući internet kurseve o najboljim praksama digitalne bezbjednosti. Takođe, stečeno znanje treba podijeliti sa prijateljima i članovima porodice kako bi se i njima pomoglo da zaštite svoje uređaje.

Prateći ove preporuke, korisnici mogu značajno smanjiti rizik da postanu žrtve zlonamjernog softvera TrickMo i mogu uživati u bezbjednijem iskustvu pregledanja na svom Android uređaju. Korisnici treba da uvijek budu oprezni, informisani i uvijek da daju prioritet digitalnoj bezbjednosti!

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.