- 13,852
- 20
- 8 Ноя 2022
40 новых версий трояна с улучшенными функциями продолжают шествие по устройствам пользователей.
Компания Zimperium Для просмотра ссылки Войдиили Зарегистрируйся 40 новых версий банковского трояна TrickMo, который получил функции для уклонения от обнаружения и незаметной кражи данных.
Несмотря на отсутствие официальных индикаторов компрометации ( IoC ), специалисты выявили 40 новых версий программы, включая 16 дропперов и 22 активных C2 -сервера, а также дополнительные функциональные возможности. Анализ показал, что многие из образцов остаются незамеченными широкой публике.
Особенности вредоносного ПО:
Кроме указанных возможностей, исследователи обнаружили новый механизм, позволяющий злоумышленникам красть графические ключи или PIN-коды устройства. Вредоносное ПО отображает поддельный интерфейс разблокировки, имитирующий настоящий экран устройства. Когда пользователь вводит графический ключ или PIN-код, эти данные вместе с идентификатором устройства передаются на удалённый сервер.
Фишинговый интерфейс представляет собой HTML-страницу, размещенную на внешнем веб-сайте и отображаемую в полноэкранном режиме на устройстве, что делает ее похожей на настоящий экран.
Во время анализа был получен доступ к нескольким C2-серверам, где были обнаружены файлы с данными о примерно 13 000 уникальных IP-адресах жертв TrickMo. Основными целями атак стали Канада, ОАЭ, Турция и Германия. Список IP-адресов регулярно обновляется, когда малварь похищает очередные учётные данные. Общее количество скомпрометированных устройств исчисляется миллионами, а объём похищенных данных включает не только банковскую информацию, но и данные для доступа к корпоративным ресурсам – VPN и внутренним сервисам.
В настоящее время TrickMo распространяется посредством фишинга, поэтому, чтобы свести к минимуму вероятность заражения, не загружайте APK -файлы по ссылкам, отправленных по SMS или в личных сообщениях незнакомыми вам людьми.
Компания Zimperium Для просмотра ссылки Войди
Несмотря на отсутствие официальных индикаторов компрометации ( IoC ), специалисты выявили 40 новых версий программы, включая 16 дропперов и 22 активных C2 -сервера, а также дополнительные функциональные возможности. Анализ показал, что многие из образцов остаются незамеченными широкой публике.
Особенности вредоносного ПО:
- перехват одноразовых паролей (OTP);
- запись экрана;
- кража данных;
- удалённое управление;
- автоматическое предоставление разрешений и автоматическое нажатие на запросы;
- злоупотребление службами доступности;
- отображение оверлеев и кража учётных данных.
Кроме указанных возможностей, исследователи обнаружили новый механизм, позволяющий злоумышленникам красть графические ключи или PIN-коды устройства. Вредоносное ПО отображает поддельный интерфейс разблокировки, имитирующий настоящий экран устройства. Когда пользователь вводит графический ключ или PIN-код, эти данные вместе с идентификатором устройства передаются на удалённый сервер.
Фишинговый интерфейс представляет собой HTML-страницу, размещенную на внешнем веб-сайте и отображаемую в полноэкранном режиме на устройстве, что делает ее похожей на настоящий экран.
Во время анализа был получен доступ к нескольким C2-серверам, где были обнаружены файлы с данными о примерно 13 000 уникальных IP-адресах жертв TrickMo. Основными целями атак стали Канада, ОАЭ, Турция и Германия. Список IP-адресов регулярно обновляется, когда малварь похищает очередные учётные данные. Общее количество скомпрометированных устройств исчисляется миллионами, а объём похищенных данных включает не только банковскую информацию, но и данные для доступа к корпоративным ресурсам – VPN и внутренним сервисам.
В настоящее время TrickMo распространяется посредством фишинга, поэтому, чтобы свести к минимуму вероятность заражения, не загружайте APK -файлы по ссылкам, отправленных по SMS или в личных сообщениях незнакомыми вам людьми.
- Источник новости
- www.securitylab.ru
