image credit: Pixabay.com
Empat puluh varian baru trojan perbankan Android TrickMo telah diidentifikasi di alam liar, yang dikaitkan dengan 16 dropper dan 22 infrastruktur perintah dan kontrol (C2) yang berbeda, dengan fitur-fitur baru yang dirancang untuk mencuri PIN Android.
Seperti yang dilaporkan oleh peneliti, menyusul laporan sebelumnya yang menyelidiki beberapa tetapi tidak semua varian yang saat ini beredar.
TrickMo pertama kali didokumentasikan pada tahun 2020, tetapi diperkirakan telah digunakan dalam serangan terhadap pengguna Android setidaknya sejak September 2019.
|
Baca juga: Trojan berbahaya Aplikasi iRecorder |
Layar Kunci Palsu Mencuri Pin Android
Fitur-fitur utama dari versi TrickMo yang baru meliputi:
- Intersepsi kata sandi satu kali (OTP).
- Perekaman layar.
- Eksfiltrasi data.
- Kendali jarak jauh.
- Dan banyak lagi.
Malware tersebut mencoba menyalahgunakan izin Layanan Aksesibilitas yang kuat untuk memberikan dirinya sendiri izin tambahan dan mengetuk perintah secara otomatis sesuai kebutuhan.
Sebagai trojan perbankan, trojan ini menyajikan lapisan layar login phishing kepada pengguna di berbagai bank dan lembaga keuangan untuk mencuri kredensial akun mereka dan memungkinkan penyerang melakukan transaksi yang tidak sah.
Analis yang menganalisis varian baru ini juga melaporkan layar buka kunci baru yang menipu yang meniru perintah buka kunci Android asli, yang dirancang untuk mencuri pola buka kunci atau PIN pengguna.
|
Baca juga: Trojanisasi Telegram |
Antarmuka Trojan Perbankan Android TrickMo
Antarmuka Pengguna yang menipu adalah halaman HTML yang dihosting di situs web eksternal dan ditampilkan dalam mode layar penuh di perangkat, sehingga tampak seperti layar yang sah.
Saat pengguna memasukkan pola buka kunci atau PIN, halaman tersebut mengirimkan PIN atau detail pola yang ditangkap, bersama dengan pengenal perangkat unik (ID Android) ke skrip PHP.
Mencuri PIN memungkinkan penyerang membuka kunci perangkat saat tidak dipantau secara aktif, mungkin pada larut malam, untuk melakukan penipuan pada perangkat. Korban yang terekspos
Karena infrastruktur C2 yang tidak diamankan dengan baik, Zimperium juga dapat menentukan bahwa sedikitnya 13.000 korban, sebagian besar berlokasi di Kanada dan sejumlah besar juga ditemukan di Uni Emirat Arab, Turki, dan Jerman, terkena dampak malware ini.
Jumlah ini sesuai dengan “beberapa server C2,” menurut Zimperium, jadi jumlah total korban TrickMo kemungkinan lebih tinggi.
Analisis kami mengungkapkan bahwa berkas daftar IP diperbarui secara berkala setiap kali malware berhasil mencuri kredensial.
Kami menemukan jutaan catatan dalam berkas ini, yang menunjukkan banyaknya perangkat yang disusupi dan sejumlah besar data sensitif yang diakses oleh Pelaku Ancaman.
Peneliti sebelumnya menyembunyikan indikator penyusupan dari publik karena infrastruktur C2 yang salah dikonfigurasi yang dapat mengekspos data korban ke komunitas kejahatan dunia maya yang lebih luas. Zimperium kini telah memilih untuk memposting semuanya di repositori GitHub ini.
|
Baca juga: Penyusup Itu Bernama Trojan Horse |
Cakupan Target TrickMo
Namun, cakupan penargetan TrickMo tampaknya cukup luas untuk mencakup jenis aplikasi (dan akun) di luar perbankan, termasuk:
- VPN.
- Platform streaming.
- Platform e-commerce.
- Perdagangan.
- Media sosial.
- Perekrutan.
- Dan platform perusahaan.
Peneliti sebelumnya menyembunyikan indikator penyusupan dari publik karena infrastruktur C2 yang dikonfigurasi secara salah.
Yang dapat mengekspos data korban ke komunitas kejahatan dunia maya yang lebih luas, tetapi Zimperium sekarang memilih untuk memposting semuanya di repositori GitHub ini.
TrickMo saat ini menyebar melalui phishing, jadi untuk meminimalkan kemungkinan infeksi, hindari mengunduh APK dari URL yang dikirim melalui SMS atau pesan langsung oleh orang yang tidak Anda kenal.
Google Play Protect mengidentifikasi dan memblokir varian TrickMo yang diketahui, jadi memastikannya aktif di perangkat sangat penting dalam melindungi dari malware.
Sumber berita:
