TrickBot ahora empuja la aplicación de Android para evitar 2FA en cuentas bancarias


SMS OTP 2FA

Los operadores del malware bancario TrickBot han desarrollado una aplicación de Android que puede evitar algunas de las soluciones de autenticación de dos factores (2FA) empleadas por los bancos.

Esta aplicación de Android, que los investigadores de seguridad de IBM han denominado TrickMo, funciona interceptando códigos únicos (OTP) que los bancos envían a los usuarios a través de SMS o notificaciones drive.

TrickMo recopila y luego envía los códigos a los servidores de again-finish de la pandilla TrickBot, lo que permite a los delincuentes eludir los inicios de sesión o autorizar transacciones fraudulentas.

TrickMo actualmente activo solo en Alemania

Según un informe publicado hoy por IBM, solo los usuarios que han sido infectados previamente con la versión de escritorio (Windows) del malware TrickBot están expuestos a estos ataques.

Además, el TrickMo no se united states of america ampliamente en la naturaleza. Actualmente, solo se implementa contra usuarios alemanes, principalmente porque los bancos alemanes tienen una implementación más amplia de protecciones OTP, y Alemania siempre ha servido como campo de pruebas para las nuevas características de TrickBot.

La aplicación TrickMo se vio por primera vez en la naturaleza en septiembre de 2019, cuando el equipo CERT de Alemania la vio por primera vez.

La distribución del malware TrickMo se basa en la función de «inyección website» de TrickBot: la capacidad de inyectar contenido dentro del navegador web de un usuario infectado.

Cómo funciona una infección TrickMo

Según IBM, cuando TrickBot detecta que el usuario está accediendo a los portales internet de ciertos bancos, el malware crea una página website donde atrae al usuario a descargar e instalar una aplicación de seguridad que «protege sus cuentas».

En realidad, esta aplicación, actualmente haciéndose pasar por el antivirus móvil de Avast, contiene el malware TrickMo dentro de su código fuente.

Una vez que el usuario instala este falso antivirus Avast, la aplicación solicita a las víctimas acceso al servicio de accesibilidad. Este es un paso importante porque el servicio de accesibilidad de Android es una de las características más potentes del sistema operativo móvil.

Desarrollado inicialmente por Google para el beneficio de los usuarios con discapacidades, el servicio de accesibilidad hoy en día tiene un control casi overall sobre un dispositivo y todas sus funciones.

El malware TrickMo abusa de este servicio en toda su ventaja, y lo usa para interactuar con el dispositivo Android de la víctima sin ninguna interacción del usuario, tomando sus propios toques de pantalla.

De esta manera, TrickMo se establece como la aplicación de SMS predeterminada. Esto le permite interceptar cualquier mensaje SMS que llegue al dispositivo, como los enviados por bancos alemanes y que contengan códigos OTP para autorizaciones de inicio de sesión o transacciones (llamados códigos mTAN, por número de autorización de transacción móvil).

Pero eso no es todo. En caso de que los bancos hayan actualizado sus sistemas para evitar el uso de SMS OTP, TrickMo también puede interceptar los códigos OTP enviados como notificaciones press.

Las OTP basadas en inserción, también llamadas pushTAN, son códigos únicos que se envían a la aplicación del banco que se ejecuta en el dispositivo del propietario de la cuenta.

Debido a que no puede simplemente extraer el código de otra aplicación (Android restringe el acceso de las aplicaciones a los datos de otras aplicaciones), TrickMo utiliza el servicio de accesibilidad totalmente autorizado para grabar la pantalla de la aplicación y enviar la grabación a su backend. Los ladrones luego extraen el código OTP cuando lo necesitan para omitir inicios de sesión y autorizaciones de transacción.

Otras características de TrickMo

Pero según Pavel Asinovsky, un investigador de malware para el equipo de seguridad de IBM X-Force, TrickMo tiene muchas más características además de las capacidades de recopilación de OTP.

Por ejemplo, el troyano TrickMo para Android también recopila detalles sobre un dispositivo, que envía de vuelta a la pandilla TrickBot como una «huella electronic».

Esta huella digital desempeñará un papel importante en el futuro, ya que la pandilla TrickBot reproducirá la huella digital móvil de cada usuario cuando realice una transacción fraudulenta, dando al banco la impresión de que la operación se realizó desde el dispositivo legítimo de un usuario.

Además, el troyano TrickMo también viene con una capacidad de «bloqueo de pantalla». Sin embargo, esto no se utiliza con fines de ransomware. En cambio, el troyano TrickMo united states of america el bloqueo de pantalla para ocultar sus actividades nefastas de los ojos del usuario. Más precisamente, el troyano TrickMo utiliza un mensaje falso de actualización de pantalla completa de Android para disfrazar todas sus operaciones de robo de OTP.

Y por último, pero no menos importante, el troyano también viene con una función de autodestrucción, que IBM cree que los operadores usan después de que hayan vaciado una cuenta y quieran eliminar cualquier evidencia de su presencia en un dispositivo.

No es el primero de su tipo.

Pero aunque TrickMo puede parecer un cambio de juego, no lo es, y la pandilla TrickBot solo está siguiendo las tácticas empleadas por otras pandillas de malware en el pasado.

De hecho, el nombre de TrickMo que los investigadores de IBM asignaron a la aplicación de Android de TrickBot es una referencia directa a ZitMo, una aplicación para Android desarrollada por la pandilla de malware Zeus (escritorio de Windows) en 2011, que también se implementó de manera comparable para evitar 2FA para cuentas bancarias protegidas.

Ver a un grupo de troyanos de escritorio desarrollar una aplicación de Android que lo acompaña es extraño y raro.

Esto se debe a que la mayoría de los troyanos bancarios de Android de hoy en día son compatibles con características similares para interceptar mensajes SMS de 2FA, y a menudo no necesita un troyano de escritorio cuando puede operar fácilmente solo en dispositivos móviles.

Pero lo que también es notable aquí es que TrickMo fue desarrollado por TrickBot, una de las operaciones de malware más grandes de la actualidad.

Inicialmente, TrickBot comenzó como un troyano bancario a mediados de la década de 2010, pero luego se convirtió en una operación de Cibercrimen como servicio (CaaS) que principalmente genera dinero al permitir que otras pandillas implementen cargas útiles de malware de segunda etapa en TrickBot infectados Hospedadores.

La mera existencia de TrickMo sugiere que la pandilla TrickBot todavía está invirtiendo e interesada en el fraude bancario, a pesar de la exitosa operación CaaS de TrickBot, que ha sido uno de los principales canales de implementación de ransomware en redes empresariales durante los últimos dos años e incluso ha sido utilizado por alguna nación. -estatal grupos de piratería.



Enlace a la noticia unique