Se ha descubierto que nuevas variantes de un troyano bancario para Android llamado TrickMo albergan funciones previamente no documentadas para robar el patrón de desbloqueo o PIN de un dispositivo.
«Esta nueva incorporación permite al actor de amenazas operar en el dispositivo incluso cuando está bloqueado», dijo el investigador de seguridad de Zimperium, Aazim Yaswant , en un análisis publicado la semana pasada.
TrickMo, detectado por primera vez en 2019, recibe ese nombre por sus asociaciones con el grupo de delitos cibernéticos TrickBot y es capaz de otorgar control remoto sobre dispositivos infectados, así como robar contraseñas de un solo uso basadas en SMS (OTP) y mostrar pantallas superpuestas para capturar credenciales abusando de los servicios de accesibilidad de Android.
El mes pasado, la empresa italiana de ciberseguridad Cleafy reveló versiones actualizadas del malware móvil con mecanismos mejorados para evadir el análisis y otorgarse permisos adicionales para realizar diversas acciones maliciosas en el dispositivo, incluida la realización de transacciones no autorizadas.
Algunas de las nuevas variantes del malware también han sido equipadas para recolectar el patrón de desbloqueo o PIN del dispositivo presentando a la víctima una interfaz de usuario (UI) engañosa que imita la pantalla de desbloqueo real del dispositivo.
La interfaz de usuario es una página HTML alojada en un sitio web externo y se muestra en modo de pantalla completa, lo que da la impresión de que es una pantalla de desbloqueo legítima.
Si un usuario desprevenido ingresa su patrón de desbloqueo o PIN, la información, junto con un identificador de dispositivo único, se transmite a un servidor controlado por el atacante (» android.ipgeo[.]at «) en forma de una solicitud HTTP POST .
Zimperium afirmó que la falta de protecciones de seguridad adecuadas para los servidores C2 permitió obtener información sobre los tipos de datos almacenados en ellos. Esto incluye archivos con aproximadamente 13.000 direcciones IP únicas, la mayoría de las cuales están geolocalizadas en Canadá, los Emiratos Árabes Unidos, Turquía y Alemania.
«Estas credenciales robadas no se limitan únicamente a la información bancaria, sino que también incluyen las que se utilizan para acceder a recursos corporativos, como las VPN y los sitios web internos», afirmó Yaswant. «Esto subraya la importancia fundamental de proteger los dispositivos móviles, ya que pueden servir como punto de entrada principal para los ciberataques a las organizaciones».
Otro aspecto destacable es la amplia orientación de TrickMo, que recopila datos de aplicaciones que abarcan múltiples categorías, como banca, empresas, empleo y reclutamiento, comercio electrónico, comercio, redes sociales, streaming y entretenimiento, VPN, gobierno, educación, telecomunicaciones y atención médica.
El desarrollo se produce en medio del surgimiento de una nueva campaña del troyano bancario ErrorFather para Android que emplea una variante de Cerberus para llevar a cabo fraudes financieros.
«La aparición de ErrorFather resalta el peligro persistente del malware reutilizado, ya que los cibercriminales continúan explotando el código fuente filtrado años después de que se descubriera el malware Cerberus original», dijo Symantec, propiedad de Broadcom .
Según datos de Zscaler ThreatLabz, los ataques móviles con motivaciones financieras que involucran malware bancario han experimentado un aumento del 29% durante el período de junio de 2023 a abril de 2024, en comparación con el año anterior.
India resultó ser el principal objetivo de los ataques móviles durante el período, experimentando el 28% de todos los ataques, seguida por Estados Unidos, Canadá, Sudáfrica, los Países Bajos, México, Brasil, Nigeria, Singapur y Filipinas.
Fuente y redacción: thehackernews.com
