viernes, 3 de abril de 2020

El malware TrickBot se complementa con aplicación móvil: TrickMo

Los autores responsables del malware bancario TrickBot han desarrolado TrickMo, una aplicación Android capaz de interceptar los códigos de autorización enviados por las entidades bancarias.

Esta aplicación, bautizada como TrickMo por los investigadores de IBM X-Force, está en pleno desarrollo y ha tenido como objetivo, de momento, a usuarios alemanes que estaban previamente infectados con el malware TrickBot.
En un primer momento, TrickBot se aprovecha de los navegadores del equipo infectado para engañar al usuario y conseguir que facilite su número de teléfono móvil para, posteriormente, tratar de que instalen una falsa aplicación de seguridad.
Es habitual que las aplicaciones bancarias utilicen un segundo factor de autenticación (2FA) a la hora de iniciar sesión o realizar transacciones. Hasta hace poco, estos códigos se recibían por principalmente por SMS, fácilmente interceptables por otras aplicaciones instaladas y además vulnerables a ataques por cambio de SIM. Por este motivo, cada vez con más frecuencia se utilizan otras vías para distribuirlos, mediante notificaciones push que llegan directamente a la aplicación bancaria. Debido a la implementación de la seguridad en Android, donde cada aplicación se ejecuta aislada del resto, no es posible acceder a esta información directamente.
Para contrarrestar estas medidas, TrickMo, como otros malware bancarios, utiliza los servicios de accesibilidad que proporciona Android, desarrollados en principio como ayuda a usuarios con diferentes tipos de discapacidad. De esta manera, si se le concede los permisos, el malware puede acceder a las notificaciones del dispositivo, obtener capturas de pantalla, detectar qué aplicaciones están en ejecución, impedir su desinstalación, interactuar con el dispositivo, etc.


file:///tmp/ct_tmp/1.png
Función que, haciendo uso de los servicios de accesibilidad, es capaz de pulsar un botón
Ya instalado, es capaz de obtener persistencia en el dispositvo tras un reinicio mediante el uso de diferentes eventos generados por el sistema, como puede ser la recepción de un SMS o el encendido de la pantalla. De esta forma evitan utilizar el evento BOOT_COMPLETED, que requiere permisos adicionales y puede resultar sospechoso.


Código que utiliza el evento SCREEN_ON para iniciar el servicio
Una vez está operativo, la aplicación se comunica con el servidor de mando y control (C&C por sus siglas en inglés), aunque también puede ser controlado mediante mensajes SMS, de donde recibe instrucciones de funcionamiento. Es capaz de exfiltrar una gran cantidad de información, incluyendo:
  • Informacion personal
  • Mensajes SMS
  • Capturas de las aplicaciones bancarias objetivo, para obtener los códigos de verificación
  • Fotos
Para reducir las sospechas del usuario a la hora de robar los códigos de verificación bancarios, este malware bloquea la pantalla del dispositivo evitando que el usuario sea consciente de lo que está sucediendo.
Además, incorpora un mecanismo de “autodestrucción”, por el que puede eliminarse completamente del teléfono una vez recibe la instrucción para ello. Este mecanismo puede ser también activado mediante un SMS cifrado. Los investigadores han detectado que hace uso de una clave RSA estática incorporada en la propia aplicación, haciendo posible la generación de este mensaje. Es lógico asumir, sin embargo, que futuras versiones emplearán claves únicas por dispositivo, generadas en el momento de la infección.
Referencias:

No hay comentarios:

Publicar un comentario

Más leídas este mes