Foto: BleepingComputer
Nova varijanta Android bankarskog zlonamjernog softvera TrickMo, prema izvješću ThreatFabrica, koristi The Open Network (TON) za prikrivenu komunikaciju s operatorom i u kampanjama je usmjerena na korisnike diljem Europe. Riječ je o varijanti koju je ThreatFabric označio kao „Trickmo.C” i koju je, prema navodima istraživača, pratio od siječnja. Malware je, kako se navodi, prikriven kao aplikacije nalik TikToku ili servisima za streaming te cilja bankarske i kriptovalutne novčanike korisnika u Francuskoj, Italiji i Austriji.
Prema opisu ThreatFabrica, ključna novost ove varijante je komunikacija temeljena na TON-u, pri čemu se koriste .ADNL adrese i lokalni TON proxy ugrađen na zaraženom uređaju. TON je decentralizirana peer-to-peer mreža koja omogućuje komunikaciju kroz šifrirani overlay sloj, umjesto preko javno izloženih internetskih poslužitelja. ThreatFabric navodi da TON koristi 256-bitni identifikator umjesto uobičajene domene, što skriva IP adresu i komunikacijski port te otežava identifikaciju, blokiranje ili uklanjanje stvarne serverske infrastrukture.
„Tradicionalna uklanjanja domena uglavnom su neučinkovita jer se operatorove krajnje točke ne oslanjaju na javnu DNS hijerarhiju, nego postoje kao TON .adnl identiteti razriješeni unutar samog overlayja”, objašnjava ThreatFabric. Istraživači također navode da mrežni nadzor vidi samo TON promet, koji je šifriran i ne razlikuje se od odlaznog prometa bilo koje druge aplikacije koja koristi TON. U izvješću se dodaje i da je TrickMo modularni zlonamjerni softver s dvofaznim dizajnom: host APK služi kao učitavač i sloj postojanosti, a modul APK-a koji se preuzima tijekom rada implementira ofenzivne funkcije.
TrickMo, prema ThreatFabricu, cilja vjerodajnice za bankarske račune putem phishing slojeva, a među mogućnostima su keylogging, snimanje zaslona, prijenos zaslona uživo, presretanje SMS poruka, suzbijanje obavijesti s OTP-om, izmjena međuspremnika, filtriranje obavijesti i snimanje zaslona. Istraživači su zabilježili i nove naredbe i mogućnosti, no u dostupnom sažetku nisu navedeni njihovi detalji. Također su uočili Pine runtime hooking framework, koji je ranije korišten za presretanje mrežnih i Firebase operacija, ali je trenutačno neaktivan jer nema instaliranih hookova. TrickMo deklarira i opsežna NFC dopuštenja te u telemetriji prijavljuje NFC mogućnosti, no istraživači nisu pronašli aktivnu NFC funkcionalnost.
ThreatFabric preporučuje korisnicima Androida da aplikacije preuzimaju samo iz Google Playa, da ograniče broj aplikacija na telefonu, koriste samo aplikacije provjerenih izdavača i da Play Protect bude stalno aktivan. U kontekstu ove kampanje to je posebno važno zato što je malware, prema izvješću, distribuiran kroz aplikacije koje se predstavljaju kao popularne usluge, a komunikacijski sloj je osmišljen tako da oteža uobičajene metode otkrivanja i uklanjanja. Ipak, u samom izvješću ostaje jasno razdvojeno što je istraživački nalaz, a što aktivna funkcionalnost koja je doista opažena: Pine je neaktivan, a NFC mogućnosti nisu potvrđene kao operativne.
Vezane vijesti
