TrickMo恶意软件通过假锁屏窃取Android PIN码

近期，Zimperium和Cleafy的安全研究人员发现了TrickMo Android银行木马的40个新变种。这些新变种与16个下载器和22个命令控制（C2）基础设施相关，具备窃取Android用户密码的新功能。

TrickMo首次被IBM X-Force于2020年记录，但据信早在2019年就已开始针对Android用户进行攻击。最新的变种通过虚假锁屏界面来窃取用户的解锁模式和PIN码，增加了攻击的隐蔽性和有效性。

新版本的TrickMo具有多种功能，包括一次性密码（OTP）拦截、屏幕录制、数据外泄和远程控制等。恶意软件利用强大的辅助功能服务权限，自动点击用户提示，增加其权限。

攻击中使用的银行业务覆盖，来源：Zimperium

Zimperium的分析显示，恶意软件能够创建伪造的银行和金融机构登录界面，欺骗用户输入账户凭证。一项新的欺骗性解锁屏幕模仿真实的Android解锁提示，试图窃取用户的PIN码或解锁模式。当用户输入信息时，这些数据将被发送到外部服务器，便于攻击者实施后续欺诈。

TrickMo 展示的伪造安卓锁屏，来源：Zimperium

由于C2基础设施的安全防护不当，Zimperium能够确定至少有13,000名受害者受到了该恶意软件的影响，受害者主要集中在加拿大、阿联酋、土耳其和德国。每当恶意软件成功渗出凭证时，其IP列表文件会定期更新，研究人员发现这些文件中包含数百万条记录，表明被攻击设备数量庞大，潜在的敏感数据也随之泄露。

TrickMo 受害者热图，来源：Zimperium

为减少感染风险，用户应避免从不明来源下载APK文件，并确保Google Play Protect处于激活状态以识别和阻止已知的TrickMo变种。随着攻击手段的不断升级，用户的网络安全意识显得尤为重要。

资讯来源：bleepingcomputer

转载请注明出处和本文链接