Trojan TrickMo para Android explora serviços de acessibilidade em fraudes bancárias

Pesquisadores de segurança cibernética identificaram uma nova variante do trojan bancário para Android conhecido como TrickMo, que trouxe recursos avançados para evitar detecções e roubar credenciais bancárias por meio de telas falsas de login.

Segundo Michele Roviello e Alessandro Strino, da Cleafy, "os mecanismos incluem o uso de arquivos ZIP malformados combinados com o JSONPacker." Além disso, o aplicativo malicioso é instalado por meio de um dropper, que utiliza técnicas de anti-análise para dificultar a detecção pelos especialistas.

O TrickMo, detectado pela primeira vez em setembro de 2019 pelo CERT-Bund, tem sido utilizado para atacar dispositivos Android, principalmente na Alemanha. Ele visa capturar senhas de uso único (OTPs) e códigos de autenticação de dois fatores (2FA), facilitando fraudes financeiras.

Acredita-se que este malware tenha sido desenvolvido pela extinta gangue de crimes cibernéticos TrickBot, que evoluiu suas técnicas de ofuscação e anti-análise ao longo do tempo para escapar das defesas de segurança.

Entre suas funcionalidades destacam-se a capacidade de registrar atividades na tela, capturar teclas digitadas, coletar fotos e mensagens SMS, e controlar remotamente dispositivos infectados para realizar fraudes diretamente no aparelho. O malware também abusa da API de serviços de acessibilidade do Android para realizar ataques de sobreposição de HTML, além de executar cliques e gestos no dispositivo.

Dropper Disfarçado e Controle de Serviços de Acessibilidade

O dropper malicioso identificado pela Cleafy se disfarça como o navegador Google Chrome. Ao ser instalado, o aplicativo solicita que o usuário "atualize" o Google Play Services. Se o usuário aceitar, o TrickMo é baixado e instalado no dispositivo sob o nome de "Google Services", pedindo a ativação dos serviços de acessibilidade.

Esses serviços, projetados para auxiliar usuários com deficiências, são explorados pelo TrickMo para conceder controle amplo sobre o dispositivo. "Essa permissão elevada permite ao malware interceptar SMS, manipular notificações para roubar códigos de autenticação, e realizar ataques de sobreposição para capturar credenciais," explicam os pesquisadores.

O malware também desativa recursos de segurança, impede atualizações do sistema, concede permissões automaticamente e bloqueia a desinstalação de aplicativos, integrando-se ao sistema de forma silenciosa.

Exposição de Dados e Falhas de Segurança

A análise dos pesquisadores da Cleafy revelou uma falha no servidor de comando e controle (C2) do TrickMo, permitindo acesso a 12 GB de dados confidenciais exfiltrados, como credenciais e imagens. Além disso, o servidor hospeda páginas HTML usadas nos ataques de sobreposição, com falsos logins para serviços bancários e plataformas de criptomoedas como Binance.

Esse erro de segurança não apenas expôs os dados das vítimas, mas também colocou em risco informações que poderiam ser utilizadas em ataques futuros por outros agentes maliciosos. "As informações expostas podem ser usadas para roubo de identidade, invasão de contas online, transferências de fundos não autorizadas e até compras fraudulentas," alertam os pesquisadores.

Com dados pessoais em mãos, os atacantes podem criar mensagens enganosas para induzir as vítimas a fornecer mais informações ou realizar ações prejudiciais. O impacto para as vítimas inclui danos financeiros e de reputação, além de consequências duradouras, tornando a recuperação difícil e demorada.

A revelação desse ataque ocorre enquanto o Google continua aprimorando a segurança do sideload, uma prática de instalação de aplicativos fora da Google Play Store, exigindo que desenvolvedores terceiros utilizem a API Play Integrity para verificar a origem dos aplicativos.

Com a sofisticação crescente de malwares como o TrickMo, reforçar práticas de segurança e conscientizar os usuários é essencial para mitigar os riscos dessas ameaças.

Via - THN