近期，研究人員在野外發現了 TrickMo Android 銀行木馬的 40 個新變種，它們與 16 個下載器和 22 個不同的命令和控制（C2）基礎設施相關聯，具有旨在竊取 Android 密碼的新功能。

Zimperium 和 Cleafy 均報道了此消息。

TrickMo 于 2020 年首次被 IBM X-Force 記錄在案，但人們認為它至少從 2019 年 9 月開始就被用于攻擊安卓用戶。

新版 TrickMo 利用虛假鎖屏竊取安卓密碼

新版 TrickMo 的主要功能包括一次性密碼（OTP）攔截、屏幕錄制、數據外滲、遠程控制等。

該惡意軟件試圖濫用強大的輔助功能服務權限，為自己授予額外權限，并根據需要自動點擊提示。

該銀行木馬能夠向用戶提供各種銀行和金融機構的釣魚登錄屏幕覆蓋，以竊取他們的賬戶憑據，使攻擊者能夠執行未經授權的交易。

攻擊中使用的銀行業務覆蓋，來源：Zimperium

Zimperium 分析師在剖析這些新變種時還報告了一種新的欺騙性解鎖屏幕，它模仿了真正的安卓解鎖提示，旨在竊取用戶的解鎖模式或 PIN 碼。

Zimperium解釋稱：欺騙性用戶界面是一個托管在外部網站上的HTML頁面，以全屏模式顯示在設備上，使其看起來像一個合法的屏幕。

當用戶輸入解鎖模式或 PIN 碼時，頁面會將捕獲的 PIN 碼或模式詳情以及唯一的設備標識符（Android ID）傳輸到 PHP 腳本。

TrickMo 展示的偽造安卓鎖屏，來源：Zimperium

通過竊取 PIN 碼，攻擊者可以在設備不受監控時（可能是在深夜）解鎖設備，從而在設備上實施欺詐。

暴露的受害者

由于 C2 基礎設施的安全防護不當，Zimperium 還能夠確定至少有 13000 名受害者受到了該惡意軟件的影響，其中大部分位于加拿大，還有相當數量的受害者位于阿拉伯聯合酋長國、土耳其和德國。

TrickMo 受害者熱圖，來源：Zimperium

據 Zimperium 稱，這一數字與 “多個 C2 服務器 ”相對應，因此 TrickMo 受害者的總數可能更高。另外，分析發現，每當惡意軟件成功滲出憑證時，IP列表文件就會定期更新。在這些文件中，研究人員發現了數以百萬計的記錄，這表明被入侵的設備數量龐大，威脅行為者訪問了大量敏感數據。

由于 C2 基礎設施配置不當，可能會將受害者數據暴露給更廣泛的網絡犯罪社區，Cleafy 此前一直未向公眾公布入侵指標。Zimperium 現在選擇在 GitHub 存儲庫中發布所有信息。

然而，TrickMo 的目標范圍似乎足夠廣泛，涵蓋了銀行以外的應用程序類型（和賬戶），包括 VPN、流媒體平臺、電子商務平臺、交易、社交媒體、招聘和企業平臺。

由于 C2 基礎設施配置不當，可能會將受害者數據暴露給更廣泛的網絡犯罪社區，Cleafy 此前一直未向公眾公布入侵指標，但 Zimperium 現在選擇在 GitHub 存儲庫中發布所有信息。

據悉，TrickMo 目前是通過網絡釣魚傳播的，因此為了盡量減少感染的可能性，應避免從不認識的人通過短信或直接消息發送的 URL 下載 APK。

Google Play Protect 可以識別并阻止 TrickMo 的已知變種，因此確保它在設備上處于激活狀態對于抵御惡意軟件至關重要。