TrickMo es un sofisticado malware que surgió como un “troyano bancario” y está diseñado para robar “credenciales financieras” e “información personal”.
Además de esto, también tiene un historial de apuntar a dispositivos Android para facilitar el fraude financiero mediante el robo de códigos OTP y 2FA.
Los investigadores de ciberseguridad de Zimperium descubrieron recientemente que el malware TrickMo ataca activamente los dispositivos Android y roba patrones de desbloqueo y PIN.
Clafy lanzó recientemente una nueva variante del troyano bancario TrickMo que presenta técnicas de evasión avanzadas, como manipulación y ofuscación de archivos zip.
Analiza archivos sospechosos con ANY.RUN: Intergarte With You Security Team -> Pruébalo gratis
Mientras tanto, los investigadores identificaron “40 variantes recientes”, “16 cuentagotas” y “22 servidores C2 activos”. Estas variantes ofrecen numerosas características.
Contraseña de un solo uso (OTP) Interceptación Grabación de pantalla Exfiltración de datos Control remoto Concesión de permisos automáticos Servicios de accesibilidad Abuso Robo de credenciales basado en superposiciones Superposiciones falsas (Fuente: Zimperium)
No solo eso, los investigadores también detectaron nuevas características preocupantes que permiten que algunas variantes roben dispositivos a través de interfaces de usuario engañosas, como un “patrón de desbloqueo” o “PIN”.
Esta interfaz de usuario es una “página HTML” alojada externamente y que se muestra en modo de pantalla completa que imita la pantalla de desbloqueo real del dispositivo.
IU de desbloqueo falsa (Fuente – Zimperium)
Cuando el usuario ingresa sus credenciales en esta página, la página envía la información que recupera (la “ID de Android”) al script “PHP”.
Esto podría permitir a un atacante “vincular credenciales robadas a dispositivos específicos” y obtener acceso a esos dispositivos incluso si están “bloqueados”.
Estas “características avanzadas” y la “capacidad del malware” para evadir la detección plantean riesgos de seguridad para la “seguridad económica” y los “datos personales” de los usuarios.
Los investigadores descubrieron múltiples “servidores C2” asociados con “operaciones de malware” avanzadas.
Estos servidores contenían archivos que enumeraban aproximadamente “13.000 direcciones IP únicas de víctimas”. La ubicación de estas IP reveló los “objetivos principales” del malware.
Canadá Emiratos Árabes Unidos Turquía Alemania
El servidor C2 actualiza continuamente los registros a medida que el malware roba “nuevas credenciales”, lo que resulta en “millones de registros comprometidos”.
Estos datos incluyen no sólo “información bancaria” sino también “credenciales de recursos corporativos”, como “redes privadas virtuales (VPN)” y “sitios web internos”.
Este malware tiene un amplio control sobre los dispositivos infectados y la capacidad de apuntar a una amplia gama de aplicaciones, lo que lo convierte en un “móvil” robusto. Esto resalta la importancia de la seguridad del dispositivo.
Para evitar filtraciones de datos y pérdidas financieras, es importante fortalecer las medidas proactivas de protección y mitigación.
Cómo elegir la solución SIEM gestionada definitiva para su equipo de seguridad -> Descargue la guía gratuita (PDF)
TrickMo Malware Attacking Android Devices To Steal Unlock Patterns & PINs
