Malware TrickMo bypassa 2FA em dispositivos Android

Minuto de Segurança Segurança da Informação

Malware TrickMo bypassa 2FA em dispositivos Android. Uma variante do TrickBot Trojan ignora a autenticação de dois fatores para serviços bancários móveis, por exemplo, interceptando códigos únicos enviados por SMS, de acordo com o IBM X-Force .

Segundo o Bank Info Security, até agora, o malware tem como alvo clientes bancários na Alemanha, mas os pesquisadores dizem que é provável que se espalhe para outros lugares e permaneça em desenvolvimento ativo.

O malware, que os pesquisadores da IBM X-Force apelidaram de “TrickMo”, é disfarçado como um aplicativo de segurança de um banco e foi projetado para ser instalado apenas em dispositivos móveis Android. O aplicativo falso, depois de baixado, infecta o dispositivo do usuário e permite que o invasor assuma o controle.

Enquanto o TrickBot começou a ser um Trojan bancário no início de 2010, o malware evoluiu para um modelo de cibercrime como serviço que pode ser usado para uma variedade de propósitos, incluindo ataques secundários, como ransomware. O relatório da IBM, no entanto, sugere que os cibercriminosos continuam interessados ​​em usá-lo para fraudes bancárias.

A Alemanha é um dos primeiros campos de ataque que o TrickBot se espalhou para quando surgiu em 2016“, de acordo com o relatório IBM X-Force. “Em 2020, parece que a vasta fraude bancária do TrickBot é um projeto em andamento que ajuda a quadrilha a monetizar contas comprometidas“.

Como o TrickMo funciona

O TrickMo foi detectado pela primeira vez pela equipe federal de resposta a emergências de computadores da Alemanha, ou CERT-Bund, em setembro de 2019, observa o relatório IBM X-Force.

O TrickMo tem como alvo vítimas cujos PCs com Windows já haviam sido infectados pelo TrickBot, que reúne dados de um navegador da web, de acordo com o relatório. Isso permite que os invasores usem o recurso de injeção na web do TrickBot para enviar mensagens falsas falsificando um banco solicitando às vítimas seus números de telefone e que tipo de dispositivo móvel eles usam e incentivando-os a baixar um “aplicativo de segurança” do banco para o dispositivo móvel a fim de proteger suas contas, observa o relatório da IBM.

Depois que o aplicativo falso é baixado em um dispositivo móvel Android, o malware TrickMo é instalado, de acordo com o relatório. O TrickMo pode então roubar informações pessoais do dispositivo, interceptar mensagens SMS, gravar aplicativos direcionados para senhas únicas, bloquear o telefone, roubar fotos e depois se autodestruir, explicam os pesquisadores da IBM.

O malware também tenta acessar os serviços de acessibilidade do Android, projetados para ajudar os usuários com deficiências. Isso permite que o TrickMo obtenha quase o controle total do dispositivo infectado, com o malware se tornando o aplicativo SMS padrão.

O site Bank Info Security, ressalta que além de capturar senhas de uso único enviadas por SMS, o malware TrickMo pode interceptar métodos de autenticação mais recentes, como números de autenticação de transações , que alguns bancos alemães usam para uma camada adicional de segurança além das senhas de uso único. Para fazer isso, o malware tira uma captura de tela do número e a envia de volta aos atacantes por meio de um servidor de comando e controle, de acordo com o relatório.

Impressão digital do dispositivo

Os pesquisadores da IBM observam que o TrickMo pode coletar dados suficientes sobre um telefone Android infectado para reproduzir sua “impressão digital” digital.

Esse tipo de informação pode ser vendido na dark web ou usado por fraudadores que tentam imitar transações legítimas de um smartphone que já foi autenticado pelo banco, segundo os pesquisadores.

Por exemplo, como alguns bancos usam soluções antifraude que apenas verificam a impressão digital do dispositivo, os fraudadores podem usar as informações coletadas para realizar transações fraudulentas de um dispositivo que imita a mesma impressão digital“, observa o relatório da IBM.

Devido à sua natureza modular do TrickBot, seus operadores e quem o aluga como um serviço podem variar o Trojan para atender às suas necessidades.

No início deste mês, a empresa de segurança Bitdefender descobriu uma nova variante do TrickBot que usa métodos de força bruta de protocolo de área de trabalho remota para visar vítimas em potencial e ignorar protocolos de segurança.

Trojans de desktop e seu componente móvel

O processo pelo qual os Trojans tentam infectar dispositivos móveis tem pelo menos uma década. Normalmente, quando os usuários já estão infectados com malware como o TrickBot na área de trabalho, eles recebem uma injeção na Web solicitando o tipo e o número de telefone do sistema operacional do dispositivo móvel (SO). Em seguida, se eles indicarem que usam um dispositivo baseado no Android, o Trojan, representando seu banco com injeções na Web, engana a vítima na instalação de um aplicativo de segurança falso. O objetivo suposto desse aplicativo é obter e usar um “código de segurança” necessário para fazer login no site bancário online.

A equipe de pesquisada IBM X-Force analisou o aplicativo malicioso para Android TrickMo é a variação mais recente na categoria de malware que rouba o número de autenticação de transação (TAN). Seus principais recursos incluem:

  • Roubar informações pessoais do dispositivo
  • Interceptando mensagens SMS
  • Gravando aplicativos direcionados para senha descartável (TAN)
  • Bloqueio do telefone
  • Roubando fotos do dispositivo
  • Autodestruição e remoção

À medida que os bancos lançam medidas de segurança mais avançadas, o malware bancário evolui para acompanhar a eterna corrida armamentista. Da análise do malware móvel do TrickMo, é evidente que o TrickMo foi projetado para quebrar os métodos mais recentes de OTP e, especificamente, os códigos TAN frequentemente usados ​​na Alemanha.

Entre os vários recursos a novidade mais significativa do TrickMo é um recurso de gravação de aplicativos, que permite superar as validações mais recentes de aplicativos pushTAN usados ​​pelos bancos alemães.

Por que os cavalos de Troia da área de trabalho usam um componente móvel?

Cerca de uma década atrás, os atacantes que usavam cavalos de Troia bancários podiam simplesmente usar credenciais roubadas para acessar a conta bancária online da vítima e realizar transferências de dinheiro. Como contra medida, as instituições financeiras introduziram vários métodos de autenticação de segundo fator (2FA) . Um método, popular na Alemanha, é conhecido como TAN móvel (mTAN). Foi implementado enviando uma mensagem SMS contendo uma senha de uso único (OTP) para o dispositivo móvel do cliente. A transação só seria autorizada após o cliente inserir a TAN no site do banco online no navegador. Lembre-se de que, embora esse caso seja sobre TANs, ele pode ser qualquer OTP, dependendo de qual banco está sendo direcionado.

Enquanto isso, os Trojans de banco de dados de desktop desenvolveram a capacidade de executar vários esquemas de engenharia social usando injeções na Web, um método que altera o conteúdo apresentado à vítima infectada em seu navegador. Em alguns casos, sofisticadas injeções na Web foram usadas para induzir as vítimas a inserir seus códigos 2FA diretamente nos formulários da Web controlados pelo malware, para eliminar a necessidade do componente de malware móvel. Mas os invasores ainda estavam constantemente procurando novos métodos para roubar TANs.

Por volta de 2011, o infame Trojan Zeus começou a usar injeções na web que induziam os usuários a baixar um componente móvel chamado “ZitMo” (Zeus in the Mobile). Isso foi usado para contornar os métodos 2FA interceptando as mensagens SMS vindas do banco e roubando os mTANs sem o conhecimento da vítima. Muitas outras famílias de malwares bancários seguiram o exemplo e lançaram seus próprios componentes de malware para Android projetados para roubar esses OTPs e TANs