Xakep #305. Многошаговые SQL-инъекции
Эксперты IBM обнаружили, что операторы банковского трояна TrickBot разработали собственное приложение для Android, которое помогает обойти двухфакторную аутентификацию, используемую банками. Это приложение перехватывает одноразовые коды безопасности из SMS-сообщений и передает их на управляющий сервер, своим операторам.
Исследователи рассказывают, что таким атакам подвергаются пользователи Windows, зараженные десктопной версий TrickBot. Приложение TrickMo появилось еще осенью прошлого года, и первыми на него обратили внимание специалисты немецкого CERT.
⚠️ Aufgepasst beim #Online #Banking:#Emotet lädt #Trickbot nach. Auf infizierten PCs blendet Trickbot beim Online-Banking eine Abfrage nach der Mobiltelefonnummer und des Gerätetyps ein und fordert Nutzer anschließend zur Installation einer angeblichen Sicherheits-App auf. pic.twitter.com/QHfmYojZxK
— CERT-Bund (@certbund) September 20, 2019
В настоящее время TrickMo используется весьма избирательно и пока распространено не слишком широко. По данным IBM, пока оно применяется против немецких пользователей, так как в немецких банках широко используется двухфакторная аутентификация, и Германия всегда служила полигоном для тестирования новых функций TrickBot.
Распространяется TrickMo полагаясь на веб-инъекции TrickBot, то есть на функциональность, допускающую внедрение контента в браузер зараженного пользователя. Так, если TrickBot обнаруживает, что пользователь обращается к сайтам определенных банков, он создает веб-страницу, на которой побуждает пользователя загрузить и установить фейковое защитное решение, которое якобы «защищает учетные записи». На самом деле это приложение, которое прикидывается мобильным антивирусом Avast, содержит малварь TrickMo.
Как только пользователь устанавливает этот поддельный антивирус, тот запрашивает у жертвы доступ к службе специальных возможностей (Accessibility service). Полученные таким образом привилегии TrickMo в полной мере использует для взаимодействия с устройством жертвы (без какого-либо взаимодействия с пользователем) и генерации нужных нажатий на экран. Также TrickMo устанавливает себя как приложение для работы с SMS по умолчанию. Это позволяет ему перехватывать любые SMS-сообщения, поступающие на устройство, например, отправленные банками.
Также малварь способна перехватывать одноразовые коды, отправленные в виде push-уведомлений. Для этого TrickMo использует возможности Accessibility service для записи экрана приложения и отправляет полученное на сервер злоумышленников.
По информации IBM, у TrickMo есть и другие возможности, помимо сбора одноразовых кодов. К примеру, малварь также собирает сведения об устройстве, которые затем отправляет своим операторам для фингерпринтинга. Таким образом, операторы TrickBot могут воспроизвести «отпечатки» жертвы во время выполнения мошеннических транзакций, создавая у банка впечатление, что операция произошла с легитимного устройства.
Кроме того, TrickMo имеет функцию блокировки экрана, хотя и не используется в вымогательских целях. Вместо этого TrickMo блокирует экран, чтобы скрыть свою вредоносную деятельность от глаз пользователя. Так, малварь задействует фальшивое полноэкранное сообщение об обновлении Android, чтобы скрыть свои операции и хищение одноразовых кодов.
Не менее важно, что вредонос обладает функцией самоуничтожения, которую, как полагают эксперты IBM, хакеры используют уже после кражи средств, если хотят избавиться от всех доказательства своего присутствия на устройстве.
Интересно, что TrickMo – не вовсе первая малварь-сателлит, хотя в целом это явление редкое. Даже само название TrickMo – это отсылка к ZitMo, Android-приложению, созданному разработчиками малвари Zeus в 2011 году. ZitMo так же использовалось для обхода 2ФА банковских счетов.