13 de septiembre de 2024Ravie LakshmananFraude financiero / Seguridad móvil Los investigadores de ciberseguridad han descubierto una nueva variante de un troyano bancario para Android llamado TrickMo que viene equipado con nuevas capacidades para evadir el análisis y mostrar pantallas de inicio de sesión falsas para capturar las credenciales bancarias de las víctimas. «Los mecanismos incluyen el uso de archivos ZIP malformados en combinación con JSONPacker», dijeron los investigadores de seguridad de Cleafy Michele Roviello y Alessandro Strino. «Además, la aplicación se instala a través de una aplicación de descarga que comparte los mismos mecanismos antianálisis». «Estas características están diseñadas para evadir la detección y obstaculizar los esfuerzos de los profesionales de la ciberseguridad para analizar y mitigar el malware». TrickMo, detectado por primera vez por CERT-Bund en septiembre de 2019, tiene un historial de apuntar a dispositivos Android, en particular a usuarios en Alemania para desviar contraseñas de un solo uso (OTP) y otros códigos de autenticación de dos factores (2FA) para facilitar el fraude financiero. El malware enfocado en dispositivos móviles se considera obra de la ahora extinta banda de delitos electrónicos TrickBot, que con el tiempo ha mejorado continuamente sus funciones de ofuscación y antianálisis para pasar desapercibida. Entre las características más notables se encuentran su capacidad para registrar la actividad de la pantalla, registrar las pulsaciones de teclas, recopilar fotos y mensajes SMS, controlar de forma remota el dispositivo infectado para realizar fraudes en el dispositivo (ODF) y abusar de la API de servicios de accesibilidad de Android para llevar a cabo ataques de superposición HTML, así como realizar clics y gestos en el dispositivo. La aplicación maliciosa descubierta por la empresa de ciberseguridad italiana se hace pasar por el navegador web Google Chrome que, cuando se inicia después de la instalación, insta a la víctima a actualizar los Servicios de Google Play haciendo clic en el botón Confirmar. Si el usuario continúa con la actualización, se descarga un archivo APK que contiene la carga útil TrickMo en el dispositivo bajo la apariencia de «Servicios de Google», tras lo cual se le pide al usuario que habilite los servicios de accesibilidad para la nueva aplicación. «Los servicios de accesibilidad están diseñados para ayudar a los usuarios con discapacidades al proporcionar formas alternativas de interactuar con sus dispositivos», dijeron los investigadores. «Sin embargo, cuando son explotados por aplicaciones maliciosas como TrickMo, estos servicios pueden otorgar un amplio control sobre el dispositivo». «Este permiso elevado permite a TrickMo realizar varias acciones maliciosas, como interceptar mensajes SMS, manejar notificaciones para interceptar u ocultar códigos de autenticación y ejecutar ataques de superposición HTML para robar credenciales de usuario. Además, el malware puede descartar bloqueos de teclas y aceptar permisos automáticamente, lo que le permite integrarse sin problemas en las operaciones del dispositivo». Además, el abuso de los servicios de accesibilidad permite al malware desactivar funciones de seguridad cruciales y actualizaciones del sistema, otorgar permisos automáticamente a voluntad y evitar la desinstalación de ciertas aplicaciones. El análisis de Cleafy también descubrió configuraciones erróneas en el servidor de comando y control (C2) que hicieron posible acceder a 12 GB de datos confidenciales extraídos de los dispositivos, incluidas credenciales e imágenes, sin requerir ninguna autenticación. El servidor C2 también aloja los archivos HTML utilizados en los ataques de superposición. Estos archivos incluyen páginas de inicio de sesión falsas para varios servicios, incluidos bancos como ATB Mobile y Alpha Bank y plataformas de criptomonedas como Binance. El fallo de seguridad no solo pone de relieve el error de seguridad operativa (OPSEC) por parte de los actores de amenazas, sino que también pone los datos de las víctimas en riesgo de ser explotados por otros actores de amenazas. La gran cantidad de información expuesta de la infraestructura C2 de TrickMo podría aprovecharse para cometer robo de identidad, infiltrarse en varias cuentas en línea, realizar transferencias de fondos no autorizadas e incluso realizar compras fraudulentas. Peor aún, los atacantes podrían secuestrar las cuentas y bloquear a las víctimas restableciendo sus contraseñas. «Usando información personal e imágenes, el atacante puede crear mensajes convincentes que engañen a las víctimas para que divulguen aún más información o ejecuten acciones maliciosas», señalaron los investigadores. «Explotar datos personales tan completos resulta en daños financieros y de reputación inmediatos y consecuencias a largo plazo para las víctimas, lo que hace que la recuperación sea un proceso complejo y prolongado». La revelación se produce mientras Google ha estado tapando los agujeros de seguridad en torno a la carga lateral para permitir que los desarrolladores externos determinen si sus aplicaciones se cargan lateralmente mediante la API Play Integrity y, de ser así, exigir a los usuarios que descarguen las aplicaciones de Google Play para seguir usándolas. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.