近期，研究人員在野外發(fā)現(xiàn)了 TrickMo Android 銀行木馬的 40 個新變種，它們與 16 個下載器和 22 個不同的命令和控制（C2）基礎(chǔ)設(shè)施相關(guān)聯(lián)，具有旨在竊取 Android 密碼的新功能。

Zimperium 和 Cleafy 均報道了此消息。

TrickMo 于 2020 年首次被 IBM X-Force 記錄在案，但人們認為它至少從 2019 年 9 月開始就被用于攻擊安卓用戶。

新版 TrickMo 利用虛假鎖屏竊取安卓密碼

新版 TrickMo 的主要功能包括一次性密碼（OTP）攔截、屏幕錄制、數(shù)據(jù)外滲、遠程控制等。

該惡意軟件試圖濫用強大的輔助功能服務(wù)權(quán)限，為自己授予額外權(quán)限，并根據(jù)需要自動點擊提示。

該銀行木馬能夠向用戶提供各種銀行和金融機構(gòu)的釣魚登錄屏幕覆蓋，以竊取他們的賬戶憑據(jù)，使攻擊者能夠執(zhí)行未經(jīng)授權(quán)的交易。

攻擊中使用的銀行業(yè)務(wù)覆蓋，來源：Zimperium

Zimperium 分析師在剖析這些新變種時還報告了一種新的欺騙性解鎖屏幕，它模仿了真正的安卓解鎖提示，旨在竊取用戶的解鎖模式或 PIN 碼。

Zimperium解釋稱：欺騙性用戶界面是一個托管在外部網(wǎng)站上的HTML頁面，以全屏模式顯示在設(shè)備上，使其看起來像一個合法的屏幕。

當(dāng)用戶輸入解鎖模式或 PIN 碼時，頁面會將捕獲的 PIN 碼或模式詳情以及唯一的設(shè)備標(biāo)識符（Android ID）傳輸?shù)?PHP 腳本。

TrickMo 展示的偽造安卓鎖屏，來源：Zimperium

通過竊取 PIN 碼，攻擊者可以在設(shè)備不受監(jiān)控時（可能是在深夜）解鎖設(shè)備，從而在設(shè)備上實施欺詐。

暴露的受害者

由于 C2 基礎(chǔ)設(shè)施的安全防護不當(dāng)，Zimperium 還能夠確定至少有 13000 名受害者受到了該惡意軟件的影響，其中大部分位于加拿大，還有相當(dāng)數(shù)量的受害者位于阿拉伯聯(lián)合酋長國、土耳其和德國。

TrickMo 受害者熱圖，來源：Zimperium

據(jù) Zimperium 稱，這一數(shù)字與 “多個 C2 服務(wù)器 ”相對應(yīng)，因此 TrickMo 受害者的總數(shù)可能更高。另外，分析發(fā)現(xiàn)，每當(dāng)惡意軟件成功滲出憑證時，IP列表文件就會定期更新。在這些文件中，研究人員發(fā)現(xiàn)了數(shù)以百萬計的記錄，這表明被入侵的設(shè)備數(shù)量龐大，威脅行為者訪問了大量敏感數(shù)據(jù)。

由于 C2 基礎(chǔ)設(shè)施配置不當(dāng)，可能會將受害者數(shù)據(jù)暴露給更廣泛的網(wǎng)絡(luò)犯罪社區(qū)，Cleafy 此前一直未向公眾公布入侵指標(biāo)。Zimperium 現(xiàn)在選擇在 GitHub 存儲庫中發(fā)布所有信息。

然而，TrickMo 的目標(biāo)范圍似乎足夠廣泛，涵蓋了銀行以外的應(yīng)用程序類型（和賬戶），包括 VPN、流媒體平臺、電子商務(wù)平臺、交易、社交媒體、招聘和企業(yè)平臺。

由于 C2 基礎(chǔ)設(shè)施配置不當(dāng)，可能會將受害者數(shù)據(jù)暴露給更廣泛的網(wǎng)絡(luò)犯罪社區(qū)，Cleafy 此前一直未向公眾公布入侵指標(biāo)，但 Zimperium 現(xiàn)在選擇在 GitHub 存儲庫中發(fā)布所有信息。

據(jù)悉，TrickMo 目前是通過網(wǎng)絡(luò)釣魚傳播的，因此為了盡量減少感染的可能性，應(yīng)避免從不認識的人通過短信或直接消息發(fā)送的 URL 下載 APK。

Google Play Protect 可以識別并阻止 TrickMo 的已知變種，因此確保它在設(shè)備上處于激活狀態(tài)對于抵御惡意軟件至關(guān)重要。