Investigadores descubren nuevas variantes del troyano bancario para Android llamado TrickMo que trae nuevas funciones no documentadas anteriormente para robar el patrón de desbloqueo o PIN de un dispositivo.
«Esta nueva adición permite al actor de la amenaza operar en el dispositivo incluso mientras está bloqueado», dijo el investigador de seguridad de Zimperium Aazim Yaswant en un análisis publicado la semana pasada. India fue el principal objetivo de los ataques móviles durante ese periodo, con un 28 % de todos los ataques, seguida de Estados Unidos, Canadá, Sudáfrica, Países Bajos, México, Brasil, Nigeria, Singapur y Filipinas.
Este troyano fue presenciado en el 2019, y se denomina asi por sus asociaciones con el grupo de ciberdelincuentes TrickBot y es capaz de otorgar control remoto sobre los dispositivos infectados, así como robar contraseñas de un solo uso basadas en mensajes de textos y mostrar pantallas superpuestas para capturar credenciales abusando de los servicios de accesibilidad de Android; pero el desarrollo se produce en medio de la aparición de una nueva campaña del troyano bancario ErrorFather Android que emplea una variante de Cerberus para llevar a cabo fraudes financieros.
El mes pasado, la empresa italiana de ciberseguridad Cleafy reveló versiones actualizadas del malware móvil con mecanismos mejorados para evadir el análisis y concederse permisos adicionales para realizar diversas acciones maliciosas en el dispositivo, incluida la realización de transacciones no autorizadas.
Algunas de las nuevas variantes del malware también han sido equipadas para obtener el patrón de desbloqueo o el PIN del dispositivo presentando a la víctima una interfaz de usuario (IU) engañosa que imita la pantalla de desbloqueo real del dispositivo, su interfaz es una página HTML alojada en un sitio web externo y mostrada a pantalla completa, dando así la impresión de que se trata de una pantalla de desbloqueo legítima.
Si los usuarios desprevenidos introducen su patrón de desbloqueo, la información junto con un identificador único del dispositivo, se transmite a un servidor controlado por el atacante («android.ipgeo[.]at») en forma de solicitud HTTP POST. Tambien recopila datos de aplicaciones que abarcan múltiples categorías,
Investigador comenta que a la falta de protecciones de seguridad adecuadas para los servidores C2 permitió conocer el tipo de datos almacenados en ellos. Esto incluye archivos con aproximadamente 13.000 direcciones IP únicas, la mayoría de las cuales están geolocalizadas en Canadá, los EAU, Turquía y Alemania. Los ataques móviles con motivación financiera que implican malware bancario han experimentado un aumento del 29% durante el período comprendido entre junio de 2023 y abril de 2024, en comparación con el año anterior.
