Οι δημιουργοί κακόβουλου λογισμικού πίσω από το TroickBot banking Trojan έχουν αναπτύξει μια νέα εφαρμογή Android που μπορεί να παρακολουθεί κωδικούς εξουσιοδότησης που αποστέλλονται στους πελάτες του Internet banking μέσω SMS ή σχετικά πιο ασφαλείς ειδοποιήσεις push και να ολοκληρώνουν δόλιες συναλλαγές.
Η εφαρμογή Android, που ονομάζεται "TrickMo"Από ερευνητές της IBM X-Force, βρίσκεται υπό ενεργή ανάπτυξη και έχει στοχεύσει αποκλειστικά Γερμανούς χρήστες των οποίων οι επιτραπέζιοι υπολογιστές έχουν μολυνθεί προηγουμένως με κακόβουλο λογισμικό TrickBot.
«Η Γερμανία είναι μία από τις πρώτες επιθέσεις που TrickBot εξαπλώθηκε όταν εμφανίστηκε για πρώτη φορά το 2016», ανέφεραν οι ερευνητές της IBM. «Το 2020, φαίνεται ότι η τεράστια απάτη της TrickBot είναι ένα συνεχές έργο που βοηθά τη συμμορία να δημιουργήσει έσοδα από παραβιασμένους λογαριασμούς».
Το όνομα TrickMo είναι μια άμεση αναφορά σε παρόμοιο είδος κακόβουλου λογισμικού Android που ονομάζεται ZitMo που αναπτύχθηκε από τη συμμορία του κυβερνοχώρου Zeus το 2011 για να νικήσει την επικύρωση δύο στοιχείων που βασίζεται σε SMS.
Η ανάπτυξη είναι η τελευταία προσθήκη στο οπλοστάσιο των εξελισσόμενων δυνατοτήτων του τραπεζικού δούρειου trojan που έχει μεταμορφωθεί από τότε για να παραδώσει άλλα είδη κακόβουλου λογισμικού, συμπεριλαμβανομένων των διαβόητων Ryuk ransomware, ενεργεί ως κλέφτης πληροφοριών, κερδοφόρα πορτοφόλια Bitcoin και συλλέγει emails και διαπιστευτήρια.
Κατάχρηση των δυνατοτήτων προσβασιμότητας του Android για παραβίαση κωδικών OTP
Αρχικά εντοπίστηκε από το CERT-Bund τον περασμένο Σεπτέμβριο, η εκστρατεία TrickMo λειτουργεί παραβιάζοντας ένα ευρύ φάσμα αριθμούς επαλήθευσης συναλλαγής (TAN), συμπεριλαμβανομένων των κωδικών OTP (OTP), των κινητών TAN (mTAN) και των κωδικών ελέγχου ταυτότητας pushTAN μετά την εγκατάσταση των θυμάτων στις συσκευές τους Android.
CERT-Bund's συμβουλευτικός δήλωσε ότι οι υπολογιστές με Windows που έχουν μολυνθεί από το TrickBot απασχολούνται το άτομο-in-the-browser (MitB) για να ζητήσουν από τα θύματα τους online αριθμούς κινητών τηλεφώνων και τύπους συσκευών για να τους ζητήσουν να εγκαταστήσουν ένα ψεύτικο app ασφαλείας - TrickMo.
Ωστόσο, δεδομένων των απειλών ασφάλειας που θέτει ο έλεγχος ταυτότητας μέσω SMS - τα μηνύματα μπορούν εύκολα να απαλλαγούν από τις εφαρμογές τρίτων κατασκευαστών και είναι επίσης ευάλωτα σε Συναλλαγές SIM - οι τράπεζες αρχίζουν να βασίζονται όλο και περισσότερο στις ειδοποιήσεις προώθησης για τους χρήστες, οι οποίες περιέχουν τις λεπτομέρειες της συναλλαγής και τον αριθμό TAN.
Για να ξεπεράσει αυτό το εμπόδιο να πάρει τις ειδοποιήσεις push της εφαρμογής, το TrickMo χρησιμοποιεί Λειτουργίες προσβασιμότητας Android που του επιτρέπει να εγγράφει ένα βίντεο της οθόνης της εφαρμογής, να ξύνει τα δεδομένα που εμφανίζονται στην οθόνη, να παρακολουθεί τις τρέχουσες εφαρμογές και ακόμη και να ορίζεται ως η προεπιλεγμένη εφαρμογή SMS.
Επιπλέον, αποτρέπει την απεγκατάσταση της εφαρμογής από χρήστες μολυσμένων συσκευών.
Ένα ευρύ φάσμα χαρακτηριστικών
Μόλις εγκατασταθεί, το TrickMo είναι επίσης ικανό να κερδίσει την εμμονή ξεκινώντας από μόνο του αφού η συσκευή γίνει διαδραστική ή αφού ληφθεί ένα νέο μήνυμα SMS. Επιπλέον, διαθέτει έναν περίπλοκο μηχανισμό ρυθμίσεων που επιτρέπει σε έναν απομακρυσμένο εισβολέα εντολές να ενεργοποιήσει / απενεργοποιήσει συγκεκριμένες λειτουργίες (π.χ. δικαιώματα πρόσβασης, κατάσταση εγγραφής, κατάσταση εφαρμογής SMS) μέσω ενός διακομιστή εντολών και ελέγχου (C2) ή ενός SMS μήνυμα.
Όταν εκτελείται το κακόβουλο λογισμικό, εξάγει μια ευρεία γκάμα πληροφοριών, συμπεριλαμβανομένων -
- Πληροφορίες προσωπικών συσκευών
- Μηνυμάτων SMS
- Καταγραφή στοχευμένων εφαρμογών για κωδικό πρόσβασης μιας ώρας (TAN)
- Φωτογραφίες
Αλλά για να αποφύγετε την υποψία κατά την κλοπή των κωδικών TAN, το TrickMo ενεργοποιεί την οθόνη κλειδώματος, εμποδίζοντας έτσι τους χρήστες να έχουν πρόσβαση στις συσκευές τους. Συγκεκριμένα, χρησιμοποιεί μια ψεύτικη οθόνη ενημέρωσης Android για να αποκρύψει τις διαδικασίες κλοπής OTP.
Και τέλος, έρχεται με λειτουργίες αυτοκαταστροφής και αφαίρεσης, οι οποίες επιτρέπουν στη συμμορία εγκλήματος στον κυβερνοχώρο πίσω από το TrickMo να αφαιρέσει όλα τα ίχνη παρουσίας του κακόβουλου λογισμικού από μια συσκευή μετά από μια επιτυχημένη λειτουργία.
Ο διακόπτης kill μπορεί επίσης να ενεργοποιηθεί μέσω SMS, αλλά οι ερευνητές της IBM διαπίστωσαν ότι ήταν δυνατή η αποκρυπτογράφηση των κρυπτογραφημένων εντολών SMS χρησιμοποιώντας ένα σκληρό κωδικοποιημένο ιδιωτικό κλειδί RSA ενσωματωμένο στον πηγαίο κώδικα, καθιστώντας έτσι δυνατή τη δημιουργία του δημόσιου κλειδιού και του σκάφους Μήνυμα SMS που μπορεί να ενεργοποιήσει τη λειτουργία αυτοκαταστροφής.
Αν και αυτό σημαίνει ότι το κακόβουλο λογισμικό μπορεί να εξαλειφθεί εξ αποστάσεως με ένα μήνυμα SMS, είναι δίκαιο να υποθέσουμε ότι μια μελλοντική έκδοση της εφαρμογής θα μπορούσε να διορθώσει τη χρήση των κωδικοποιημένων συμβολοσειρών κλειδιών για αποκρυπτογράφηση.
«Το TrickBot trojan ήταν ένα από τα πιο ενεργά στελέχη τραπεζικών κακόβουλων προγραμμάτων στο χώρο του εγκλήματος στον κυβερνοχώρο το 2019», κατέληξαν οι ερευνητές της IBM.
«Από την ανάλυσή μας, είναι προφανές ότι το TrickMo έχει σχεδιαστεί για να βοηθήσει το TrickBot να σπάσει τις πιο πρόσφατες μεθόδους ελέγχου ταυτότητας που βασίζονται σε TAN. Ένα από τα πιο σημαντικά χαρακτηριστικά που διαθέτει το TrickMo είναι η δυνατότητα εγγραφής εφαρμογών, κάτι που δίνει στο TrickBot τη δυνατότητα να ξεπεράσει τις νεότερες επικυρώσεις εφαρμογών pushTAN που έχουν αναπτυχθεί από τις τράπεζες. "
