Se ha descubierto que nuevas variantes de un troyano bancario de Android llamado TrickMo albergan funciones no documentadas previamente para robar el patrón de desbloqueo o PIN de un dispositivo.
“Esta nueva incorporación permite al actor de amenazas operar en el dispositivo incluso cuando está bloqueado”, dijo el investigador de seguridad de Zimperium, Aazim Yaswant, en un análisis publicado la semana pasada.
Visto por primera vez en la naturaleza en 2019, TrickMo recibe su nombre por sus asociaciones con el grupo de cibercrimen TrickBot y es capaz de otorgar control remoto sobre dispositivos infectados, así como robar contraseñas de un solo uso (OTP) basadas en SMS y mostrar pantallas superpuestas para capturar credenciales abusando de los servicios de accesibilidad de Android.
El mes pasado, la empresa italiana de ciberseguridad Cleafy reveló versiones actualizadas del malware móvil con mecanismos mejorados para evadir el análisis y otorgarse permisos adicionales para realizar diversas acciones maliciosas en el dispositivo, incluida la realización de transacciones no autorizadas.
Algunas de las nuevas variantes del malware también han sido equipadas para recopilar el patrón de desbloqueo o PIN del dispositivo presentando a la víctima una interfaz de usuario (UI) engañosa que imita la pantalla de desbloqueo real del dispositivo.
La interfaz de usuario es una página HTML alojada en un sitio web externo y que se muestra en modo de pantalla completa, dando así la impresión de que es una pantalla de desbloqueo legítima.
Si los usuarios desprevenidos ingresan su patrón de desbloqueo o PIN, la información, junto con un identificador de dispositivo único, se transmite a un servidor controlado por el atacante (“android.ipgeo(.)at”) en forma de una solicitud HTTP POST.
Zimperium dijo que la falta de protecciones de seguridad adecuadas para los servidores C2 hizo posible obtener información sobre los tipos de datos almacenados en ellos. Esto incluye archivos con aproximadamente 13.000 direcciones IP únicas, la mayoría de las cuales están geolocalizadas en Canadá, los Emiratos Árabes Unidos, Turquía y Alemania.
“Estas credenciales robadas no sólo se limitan a la información bancaria, sino que también abarcan aquellas utilizadas para acceder a recursos corporativos como VPN y sitios web internos”, dijo Yaswant. “Esto subraya la importancia crítica de proteger los dispositivos móviles, ya que pueden servir como punto de entrada principal para los ciberataques a las organizaciones”.
Otro aspecto notable es la amplia orientación de TrickMo, que recopila datos de aplicaciones que abarcan múltiples categorías, como banca, empresas, empleo y contratación, comercio electrónico, comercio, redes sociales, transmisión y entretenimiento, VPN, gobierno, educación, telecomunicaciones y atención médica. .
El desarrollo se produce en medio de la aparición de una nueva campaña de troyano bancario para Android ErrorFather que emplea una variante de Cerberus para realizar fraude financiero.
“La aparición de ErrorFather resalta el peligro persistente del malware reutilizado, ya que los ciberdelincuentes continúan explotando el código fuente filtrado años después de que se descubriera el malware Cerberus original”, dijo Symantec, propiedad de Broadcom.
Según datos de Zscaler ThreatLabz, los ataques móviles con motivos financieros que involucran malware bancario han experimentado un aumento del 29% durante el período comprendido entre junio de 2023 y abril de 2024, en comparación con el año anterior.
India resultó ser el principal objetivo de los ataques móviles durante el período, experimentando el 28% de todos los ataques, seguida por Estados Unidos, Canadá, Sudáfrica, Países Bajos, México, Brasil, Nigeria, Singapur y Filipinas.