طور مؤلفو البرامج الضارة وراء TrickBot Banking Trojan تطبيق Android جديدًا يمكنه اعتراض رموز التفويض لمرة واحدة المرسلة إلى عملاء الخدمات المصرفية عبر الإنترنت عبر الرسائل القصيرة أو إشعارات الدفع الأكثر أمانًا نسبيًا ، وإتمام المعاملات الاحتيالية.
تطبيق Android ، الذي أطلق عليه باحثو IBM X-Force ، "TrickMo" ، قيد التطوير النشط واستهدف حصريًا المستخدمين الألمان الذين كانت أجهزة الكمبيوتر المكتبية لديهم مصابة سابقًا ببرنامج TrickBot الضار.
قال باحثون من شركة آي بي إم: "ألمانيا هي واحدة من أول حشود هجومية انتشر TrickBot إليها عندما ظهرت لأول مرة في عام 2016". "في عام 2020 ، يبدو أن الاحتيال المصرفي الضخم من TrickBot هو مشروع مستمر يساعد العصابة على تحقيق الدخل من الحسابات المخترقة."
اسم TrickMo هو إشارة مباشرة إلى نوع مشابه من البرامج المصرفية المصرفية لنظام Android يسمى ZitMo التي تم تطويرها من قبل عصابة الجريمة الإجرامية على الإنترنت في عام 2011 للتغلب على المصادقة ثنائية العوامل المستندة إلى الرسائل القصيرة.
هذا التطوير هو أحدث إضافة في ترسانة القدرات المتطورة للطروادة المصرفية التي تحولت منذ ذلك الحين لتقديم أنواع أخرى من البرامج الضارة ، بما في ذلك برنامج Ryuk ransomware سيئ السمعة ، وتعمل كمسرقة للمعلومات ، ومحفظة Bitcoin ، وجمع رسائل البريد الإلكتروني وبيانات الاعتماد.
إساءة استخدام ميزات إمكانية الوصول في Android إلى Hijack OTP Codes
في البداية تم رصدها بواسطة CERT-Bund في سبتمبر الماضي ، تعمل حملة TrickMo عن طريق اعتراض مجموعة واسعة من أرقام مصادقة المعاملات (TANs) ، بما في ذلك كلمة المرور لمرة واحدة (OTP) ، ورمز TAN المحمول (mTAN) ، ورموز مصادقة PushTAN بعد تثبيتها من قبل الضحايا على أجهزتهم التي تعمل بنظام Android.
واستمرت CERT-Bund الاستشارية لتصرح بأن Windows استخدمت أجهزة الكمبيوتر المصابة بهجمات TrickBot هجمات الرجل في المتصفح (MitB) لطلب الضحايا من أرقام هواتفهم المصرفية عبر الإنترنت وأنواع الأجهزة من أجل حثهم على تثبيت تطبيق أمان مزيف – يسمى الآن TrickMo.
ولكن نظرًا للتهديدات الأمنية التي تفرضها المصادقة المستندة إلى الرسائل القصيرة – يمكن اختراق الرسائل بسهولة بواسطة تطبيقات الطرف الثالث المارقة وهي أيضًا عرضة لهجمات مبادلة بطاقة SIM – بدأت البنوك تعتمد بشكل متزايد على الإشعارات الفورية للمستخدمين ، والتي تحتوي على المعاملة التفاصيل ورقم TAN.
للتغلب على هذه العقبة في الحصول على إشعارات الدفع للتطبيق ، يستخدم TrickMo ميزات إمكانية الوصول في Android التي تسمح له بتسجيل فيديو لشاشة التطبيق ، وكشط البيانات المعروضة على الشاشة ، ومراقبة التطبيقات قيد التشغيل حاليًا وحتى تعيين نفسه تطبيق الرسائل القصيرة الافتراضي.
والأكثر من ذلك أنه يمنع مستخدمي الأجهزة المصابة من إلغاء تثبيت التطبيق.
مجموعة واسعة من الميزات
بمجرد التثبيت ، يكون TrickMo قادرًا أيضًا على اكتساب المثابرة من خلال بدء نفسه بعد أن يصبح الجهاز تفاعليًا أو بعد تلقي رسالة SMS جديدة. بالإضافة إلى ذلك ، فإنه يتميز بآلية إعدادات معقدة تسمح لأوامر المهاجم عن بعد بتشغيل / إيقاف تشغيل ميزات محددة (على سبيل المثال ، أذونات إمكانية الوصول ، وحالة التسجيل ، وحالة تطبيق SMS) عبر خادم الأوامر والتحكم (C2) أو SMS الرسالة.
عند تشغيل البرامج الضارة ، فإنها تتسلل مجموعة كبيرة من المعلومات ، بما في ذلك –
- معلومات الجهاز الشخصية
- رسائل SMS
- تسجيل التطبيقات المستهدفة لكلمة مرور لمرة واحدة (TAN)
- صور
ولكن لتجنب إثارة الشكوك عند سرقة رموز TAN ، يقوم TrickMo بتنشيط شاشة القفل ، وبالتالي منع المستخدمين من الوصول إلى أجهزتهم. على وجه التحديد ، يستخدم شاشة تحديث Android وهمية لإخفاء عمليات سرقة OTP.
وأخيرًا ، يأتي مع وظائف التدمير الذاتي والإزالة ، والتي تسمح لعصابة الجرائم الإلكترونية خلف TrickMo بإزالة جميع آثار وجود البرامج الضارة من جهاز بعد عملية ناجحة.
يمكن أيضًا تنشيط مفتاح التوقف عن طريق الرسائل القصيرة ، ولكن وجد باحثو IBM أنه من الممكن فك تشفير أوامر الرسائل النصية القصيرة المشفرة باستخدام مفتاح خاص RSA مشفر مضمّن في شفرة المصدر ، مما يجعل من الممكن إنشاء المفتاح العام وصياغة رسالة SMS يمكنها تشغيل ميزة التدمير الذاتي.
على الرغم من أن هذا يعني أنه يمكن التخلص من البرامج الضارة عن بعد عن طريق رسالة SMS ، إلا أنه من العدل افتراض أن الإصدار المستقبلي من التطبيق يمكن أن يصحح استخدام سلاسل المفاتيح المشفرة لفك التشفير.
وخلص باحثون من شركة IBM إلى أن "TrickBot trojan كانت واحدة من أكثر سلالات البرامج المصرفية نشاطًا في ساحة الجرائم الإلكترونية في عام 2019".
"من تحليلنا ، من الواضح أن TrickMo مصمم لمساعدة TrickBot على كسر أحدث طرق المصادقة المستندة إلى TAN. واحدة من أهم الميزات التي تمتلكها TrickMo هي ميزة تسجيل التطبيق ، وهو ما يمنح TrickBot القدرة على التغلب على أحدث عمليات التحقق من تطبيق pushTAN التي نشرتها البنوك ".