Na Androida wraca groźny malware bankowy TrickMo, który ponownie atakuje użytkowników w Europie. Złośliwe oprogramowanie udaje popularne aplikacje, w tym TikToka czy usługi streamingowe, a w tle potrafi przejmować dane do bankowości, SMS-y i kody jednorazowe. Najnowsza wersja jest znacznie trudniejsza do wykrycia, bo korzysta z ukrytej komunikacji, która utrudnia jej śledzenie i neutralizowanie.
TrickMo wraca w nowej odsłonie i celuje w użytkowników w Europie
TrickMo to złośliwe oprogramowanie na Androida, które nie jest nowością, ale jego najnowsza wersja ponownie zwróciła uwagę badaczy bezpieczeństwa. Malware aktywnie atakuje użytkowników w kilku krajach Europy, w tym we Francji, Włoszech i Austrii. Cyberprzestępcy rozpowszechniają go głównie poprzez fałszywe aplikacje, które udają popularne usługi np. TikTok czy aplikacje streamingowe.
Po instalacji złośliwe oprogramowanie działa w tle i próbuje przejąć dane dostępowe do bankowości elektronicznej oraz portfeli kryptowalutowych. Wykorzystuje przy tym różne technik – nakładki phishingowe, keylogging, przechwytywanie SMS-ów czy rejestrowanie obrazu z ekranu urządzenia. W efekcie użytkownik może nie zauważyć, że jego dane są systematycznie wykradane. Ponadto TrickMo nie jest projektem jednorazowym. Rozwija się od kilku lat i regularnie otrzymuje nowe funkcje, co czyni go coraz trudniejszym do zwalczenia przez systemy bezpieczeństwa.
Nowa infrastruktura komunikacji utrudnia wykrycie zagrożenia
Najważniejszą zmianą w najnowszej wersji TrickMo jest sposób, w jaki malware komunikuje się z serwerami kontrolnymi. Zamiast klasycznych rozwiązań opartych o tradycyjne domeny i adresy IP, cyberprzestępcy wykorzystują The Open Network (TON). To znacząco komplikuje analizę i blokowanie infrastruktury. System ten opiera się na identyfikatorach kryptograficznych, które nie ujawniają bezpośrednio lokalizacji serwerów, przez co ich namierzenie staje się znacznie trudniejsze.
Dodatkowo komunikacja jest realizowana przez lokalny proxy działający bezpośrednio na zainfekowanym urządzeniu, co jeszcze bardziej zaciemnia cały proces wymiany danych. Dzięki temu operatorzy malware mogą wydawać polecenia i odbierać skradzione informacje w sposób trudny do wykrycia przez narzędzia bezpieczeństwa. Badacze podkreślają, że takie podejście znacząco wydłuża czas reakcji służb i utrudnia neutralizację całej kampanii, nawet po jej zidentyfikowaniu.
Źródło: Android Headlines