TrickMo androidos banki trójai
A ThreatFabric kutatása szerint a TrickMo androidos banki trójai új változata jelentős technikai fejlődésen ment keresztül, és már nem csupán klasszikus banki malware-ként működik, hanem teljes Device Take Over (DTO) képességekkel rendelkező platformként. A kampányok elsősorban francia, olasz és osztrák banki, fintech-, kriptotárca- és authenticator alkalmazások felhasználóit célozzák.
A malware egyik legfontosabb újítása, hogy a vezérlési infrastruktúra már nem hagyományos internetes C2 szervereken kommunikál, hanem a decentralizált The Open Network (TON) hálózatot használja. A .adnl alapú kommunikáció és a beépített TON proxy jelentősen megnehezíti a forgalom blokkolását, az infrastruktúra felderítését és a fertőzött eszközök hálózati monitorozását. A ThreatFabric szerint ez egy tudatos architekturális átalakítás, amely elsősorban a rejtőzködést és az ellenálló képességet javítja.
A malware képes képernyőfelvételre, valós idejű képernyőmegosztásra, SMS-ek és értesítések elfogására, overlay-alapú hitelesítő adatlopásra, valamint távoli gesztus- és érintésvezérlésre is. A kutatók szerint ez lehetővé teszi az úgynevezett On-Device Fraud műveleteket, ahol a csalás közvetlenül az áldozat készülékén történik, legitim munkamenetek felhasználásával.
Az új verzió emellett hálózati pivot funkciókat is tartalmaz. A fertőzött készülék SOCKS5 proxyként vagy SSH-tunelként használható, így a támadók anonim hálózati csomópontként is kihasználhatják az eszközt.
A TrickMo terjedése jellemzően legitim alkalmazásnak álcázott dropper APK-kon keresztül történik. A felhasználókat hamis Google Chrome vagy Google Services frissítésekkel veszik rá a telepítésre, miközben a malware fejlett obfuszkációs és anti-analysis technikákat – például malformed ZIP fájlokat és JSONPacker megoldásokat – használ az elemzés és detekció megnehezítésére.
