🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                    🔥 Văn phòng Ủy ban nhân dân tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                   
Đăng ký ngay

Hàng chục biến thể mới của mã độc TrickMo có thể đánh cắp mã PIN Android thông qua màn hình khóa giả mạo

15/10/2024

Bốn mươi biến thể mới của trojan TrickMo trên Android đã được phát hiện trong thực tế, liên kết với 16 phần mềm lây nhiễm mã độc (dropper) và 22 cơ sở hạ tầng kiểm soát tấn công (C2) khác nhau, với các tính năng mới cho phép đánh cắp mã PIN Android.

Zimperium đã báo cáo vấn đề này, theo sau báo cáo trước đó của Cleafy về một số biến thể đã được phát hiện.

Màn hình khóa giả mạo đánh cắp mã pin Android

TrickMo lần đầu tiên được IBM X-Force ghi nhận vào năm 2020. Các tính năng chính của phiên bản TrickMo mới bao gồm chặn mật khẩu một lần (OTP), chụp lại màn hình, đánh cắp dữ liệu, điều khiển từ xa,…

Phần mềm độc hại này lạm dụng quyền Dịch vụ trợ năng để cấp cho chính nó các quyền bổ sung và tự động nhấn vào lời nhắc khi cần.

Như một banking trojan (phần mềm độc hại chuyên nhắm mục tiêu người dùng ứng dụng ngân hàng), nó hiển thị cho người dùng giao diện giả mạo màn hình đăng nhập của nhiều ngân hàng hoặc tổ chức tài chính khác nhau để đánh cắp thông tin tài khoản của họ và cho phép kẻ tấn công thực hiện các giao dịch trái phép.

Các nhà phân tích của Zimperium cũng báo cáo về một màn hình mở khóa giả mạo, bắt chước giao diện mở khóa của Android, được thiết kế để đánh cắp mẫu mở khóa (pattern) hoặc mã PIN của người dùng.

"Giao diện lừa đảo là một trang HTML được lưu trên một trang web bên ngoài và được hiển thị ở chế độ toàn màn hình trên thiết bị, khiến nó trông giống như một màn hình hợp pháp. Khi người dùng nhập mẫu mở khóa hoặc mã PIN, trang sẽ thu thập mã PIN hoặc mẫu mở khóa, cùng với mã định danh thiết bị (ID Android)", Zimperium cho biết.

Do cơ sở hạ tầng C2 không được bảo mật đúng cách, Zimperium đã có thể xác định rằng ít nhất 13.000 nạn nhân, hầu hết ở Canada và một số lượng đáng kể ở Các Tiểu vương quốc Ả Rập Thống nhất (United Arab Emirates), Thổ Nhĩ Kỳ và Đức, bị ảnh hưởng bởi phần mềm độc hại này.

Theo Zimperium, con số này tương ứng với "một số máy chủ C2", do đó tổng số nạn nhân của TrickMo có thể cao hơn.

"Phân tích của chúng tôi cho thấy rằng tệp danh sách IP được cập nhật thường xuyên bất cứ khi nào phần mềm độc hại lấy cắp thông tin xác thực thành công".

“Chúng tôi đã phát hiện hàng triệu bản ghi trong các tệp này, cho thấy số lượng lớn thiết bị bị xâm nhập và lượng dữ liệu nhạy cảm đáng kể bị truy cập bởi tác nhân đe dọa.”

 

Thông tin chỉ số xâm phạm (IoC) liên quan đến phần mềm độc hại này đã được Zimperium chia sẻ trên GitHub.

Phạm vi nhắm mục tiêu của TrickMo có thể bao gồm các loại ứng dụng (và tài khoản) khác, bao gồm VPN, nền tảng phát trực tuyến, nền tảng thương mại điện tử, giao dịch, phương tiện truyền thông xã hội, tuyển dụng và nền tảng doanh nghiệp.

Để giảm thiểu nguy cơ trở thành nạn nhân của các phần mềm độc hại này, hãy tránh tải xuống APK từ URL được gửi qua SMS hoặc tin nhắn trực tiếp từ những người bạn không biết.

Google Play Protect có thể xác định và chặn các biến thể đã biết của TrickMo, do đó, đảm bảo phần mềm này hoạt động trên thiết bị là rất quan trọng để bảo vệ chống lại phần mềm độc hại.

Nguồn: bleepingcomputer.com.

scrolltop