Esta aplicación de TrickBot evade la autenticación de 2 factores en servicios bancarios
Los autores de malware detrás del troyano bancario TrickBot han desarrollado una nueva aplicación de Android. Esta aplicación puede interceptar códigos de autorización únicos enviados a clientes de banca por Internet a través de SMS. También intercepta notificaciones push relativamente más seguras, y de manera completa transacciones fraudulentas.
Trickmo
La aplicación de Android, llamada ” TrickMo ” por los investigadores de IBM X-Force, está en desarrollo activo. Esta se ha dirigido exclusivamente a usuarios alemanes cuyos escritorios han sido infectados previamente con el malware TrickBot.
“Alemania es uno de los primeros campos de ataque a los que se extendió TrickBot cuando surgió por primera vez en 2016”, dijeron investigadores de IBM. “En 2020, parece que el gran fraude bancario de TrickBot es un proyecto en curso que ayuda al grupo a monetizar cuentas comprometidas”.
El nombre TrickMo es una referencia directa a un tipo similar de malware bancario para Android llamado ZitMo. Este fue desarrollado por el grupo cibercriminal Zeus en 2011 para evadir la autenticación de dos factores basada en SMS.
El desarrollo de la aplicación es la última incorporación al arsenal de capacidades en evolución del troyano bancario. Este troyano desde sus inicios se ha transformado para entregar otros tipos de malware, incluido el notorio ransomware Ryuk. También actúa como un ladrón de información, saquea billeteras de Bitcoin y recolecta correos electrónicos y credenciales.
Abuso de las características de accesibilidad de Android para secuestrar códigos OTP
Inicialmente detectado por CERT-Bund en septiembre pasado, la campaña TrickMo funciona interceptando una amplia gama de números de autenticación de transacciones (TAN). Entre esto se incluye la contraseña de un solo uso (OTP), TAN móvil (mTAN) y códigos de autenticación pushTAN después de que las víctimas lo instalen en sus dispositivos Android.
El aviso del CERT-Bund afrimó que las computadoras con Windows infectadas por TrickBot emplearon ataques de hombre en el navegador (MitB). Esto para pedirles a las víctimas sus números de teléfono móvil y tipos de dispositivos bancarios en línea. Todo con el fin de solicitarles que instalen una falsa aplicación de seguridad: ahora llamada TrickMo.
Pero dadas las amenazas de seguridad planteadas por la autenticación basada en SMS: los mensajes pueden ser secuestrados fácilmente por aplicaciones de terceros maliciosas. También son vulnerables a los ataques de intercambio de SIM. Los bancos comienzan a depender cada vez más de las notificaciones push para los usuarios, que contienen la transacción detalles y el número TAN.
Para superar este obstáculo de hacerse con las notificaciones push de la aplicación, TrickMo utiliza las funciones de accesibilidad de Android. Esta función le permite grabar un video de la pantalla de la aplicación y extraer los datos que se muestran en la pantalla. Asimismo, monitorear las aplicaciones que se ejecutan actualmente e incluso establecerse como La aplicación de SMS predeterminada.
Además, evita que los usuarios con dispositivos infectados desinstalen la aplicación.
Una amplia gama de características
Una vez instalado, TrickMo también es capaz de ganar persistencia. Esto al iniciarse después de que el dispositivo se vuelve interactivo o después de recibir un nuevo mensaje SMS. Además, presenta un mecanismo de configuración elaborado que permite a un atacante remoto emitir comandos para activar/desactivar funciones específicas. Por ejemplo, permisos de accesibilidad, estado de grabación, estado de la aplicación de SMS. Todo esto a través de un servidor de comando y control (C2) o un SMS mensaje.
Cuando se ejecuta el malware, extrae una amplia gama de información, que incluye:
- Información personal del dispositivo
- Mensajes SMS
- Grabar aplicaciones específicas para una contraseña de un solo uso (TAN)
- Fotos
Pero para evitar levantar sospechas al robar los códigos TAN, TrickMo activa la pantalla de bloqueo, evitando así que los usuarios accedan a sus dispositivos. Específicamente, utiliza una falsa pantalla de actualización de Android para enmascarar sus operaciones de robo de OTP.
Y, por último, viene con funciones de autodestrucción y eliminación. Esto permite al grupo detrás de TrickMo eliminar todos los rastros de la presencia del malware de un dispositivo después de una operación exitosa.
El interruptor de apagado también se puede activar por SMS. Empero los investigadores de IBM descubrieron que era posible descifrar los comandos SMS cifrados utilizando una clave privada RSA codificada incrustada en el código fuente. Esto permite generar la clave pública y crear un mensaje SMS que puede activar la función de autodestrucción.
Aunque esto significa que el malware se puede eliminar de forma remota mediante un mensaje SMS, es justo suponer que una versión futura de la aplicación podría rectificar el uso de cadenas de clave codificadas para el descifrado.
Peligrosidad de TrickBot
“El troyano TrickBot fue una de las cepas de malware bancario más activas en el ámbito del delito cibernético en 2019”, concluyeron los investigadores.
“Según nuestro análisis, es evidente que TrickMo está diseñado para ayudar a TrickBot a romper los métodos más recientes de autenticación basada en TAN. Una de las características más importantes que posee TrickMo es la función de grabación de aplicaciones. Esta función le da a TrickBot la capacidad de superar validaciones de aplicaciones pushTAN más nuevas implementadas por los bancos”.