Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 24 Ottobre 2024 07:26
Gli analisti di Zimperium hanno scoperto 40 nuove versioni del trojan bancario Android TrickMo. Queste varianti sono associate a 16 dropper, 22 diverse infrastrutture di gestione e presentano nuove funzionalità progettate per rubare i codici PIN agli utenti.
Ricordiamo che il malware TrickMo è stato documentato per la prima volta dagli specialisti IBM X-Force nel 2020, ma poi si è ipotizzato che fosse stato utilizzato negli attacchi contro gli utenti Android almeno dal settembre 2019.
Le caratteristiche principali delle nuove versioni di TrickMo sono: intercettazione di password monouso (OTP), registrazione dello schermo, furto di dati, controllo remoto di un dispositivo infetto e molto altro. Il malware tenta di utilizzare il servizio di accessibilità per concedersi ulteriori autorizzazioni e fare clic automaticamente su vari elementi sullo schermo secondo necessità.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Poiché TrickMo è ancora un trojan bancario, utilizza overlay di phishing per imitare le schermate di accesso di varie applicazioni bancarie e finanziarie per rubare le credenziali delle vittime, consentendo così ai suoi operatori di effettuare transazioni non autorizzate.
Va notato che gli overlay TrickMo coprono non solo le applicazioni bancarie, ma anche VPN, piattaforme di streaming, e-commerce, trading, social network, reclutamento e piattaforme aziendali.
Sempre tra gli overlay gli analisti di Zimperium hanno scoperto una schermata di sblocco che imita quella di un dispositivo Android. È progettato per rubare il PIN o la sequenza di un utente.
“Non si tratta di altro che una pagina HTML ospitata su un sito web esterno e visualizzata a schermo intero sul dispositivo, facendolo sembrare uno schermo reale. Quando l’utente inserisce il codice PIN o la sequenza per sbloccare, la pagina trasmette i dati intercettati agli aggressori, nonché un identificatore univoco del dispositivo (ID Android), utilizzando uno script PHP”, scrivono i ricercatori.
Gli analisti hanno spiegato che il furto dei codici PIN consente agli hacker di sbloccare i dispositivi delle vittime quando gli utenti non possono vederli (ad esempio di notte) e commettere attività fraudolente.
I ricercatori hanno scoperto che l’infrastruttura di controllo di TrickMo non era adeguatamente protetta. Grazie a ciò è stato possibile stabilire che almeno 13.000 persone sono già diventate vittime di malware, la maggior parte delle quali vive in Canada, Emirati Arabi Uniti, Turchia e Germania. Va notato che il numero totale delle vittime di TrickMo è probabilmente molto più elevato.
“La nostra analisi ha mostrato che il file dell’elenco degli indirizzi IP viene aggiornato ogni volta che il malware riesce a rubare le credenziali”, ha affermato Zimperium. “Abbiamo trovato milioni di voci in questi file, indicando un gran numero di dispositivi compromessi e una quantità significativa di dati sensibili a cui hanno avuto accesso gli aggressori.”
Attualmente, TrickMo viene distribuito tramite truffe di phishing, quindi gli esperti consigliano di evitare di scaricare file APK da URL ricevuti tramite SMS o messaggi di messaggistica istantanea da sconosciuti.
RedazioneSecondo un rapporto pubblicato di recente dal Financial Crimes Enforcement Network (FinCEN), l’attività globale del ransomware ha raggiunto il picco nel 2023, per poi crollare nel 2024. Questo calo...
Siamo connessi, connessi a tutto, iperconnessi. La nostra vita professionale e sociale è scandita da deadline strettissime e da un’asticella che viene continuamente alzata, dobbiamo spingere. Ci im...
Il Centro Congressi Frentani ospiterà il 12 dicembre la conferenza “Cybercrime, Artificial Intelligence & Digital Forensics”, l’evento annuale organizzato da IISFA – Associazione Italiana...
Un nuovo post pubblicato poche ore fa sul forum underground Exploit rivela l’ennesima offerta criminale legata alla vendita di accessi a siti compromessi. L’inserzionista, un utente storico del fo...
In Australia, a breve sarà introdotta una normativa innovativa che vieta l’accesso ai social media per i minori di 16 anni, un’iniziativa che farà scuola a livello mondiale. Un’analoga misura ...
