Özellikle kötü niyetli bir Bankacılık Truva Atı olan TrickBot, bu kez “TrickMo” adlı bir Android versiyonuyla yeniden ortaya çıktı; bu, daha önce IBM araştırmacıları tarafından gözlemlenen ve Zeus siber suçlu grubu tarafından geliştirilen “ZitMo” adlı benzer bir bankacılık kötü amaçlı yazılım türüne referanstır. Cyble Araştırma ve İstihbarat Laboratuvarları, TrickMo’nun en yeni versiyonuna derinlemesine bir inceleme gerçekleştirdi. son analiz.
İlk olarak Eylül 2019’da tanımlanan TrickMo, Bankacılık Truva Atı alanında gelişmiş yeteneklerle yeniden ortaya çıktı. Cyble Araştırma ve İstihbarat Laboratuarlarının gözlemlediği TrickMo çeşitlerinin tümü, kodlarını gizlemek için JsonPacker’dan yararlanıyor.
Bu, daha yeni bankacılık Truva atları için oldukça yaygın olsa da, TrickMo’nun en son yinelemesi, birkaçını saymak gerekirse, cihaz ekranı içeriğini sızdırmak, çalışma zamanı modüllerini indirmek ve katman enjeksiyonu gibi diğer etkinlikleri gerçekleştirmek için geliştirilmiş yetenekler içeriyor.
TrickMo Bankacılık Truva Atı
Overlay Injection veya Overlay Attack, genellikle adlandırıldığı şekliyle, TrickMo’nun ayrıntıları yakalamak için öncelikle ekran kaydına dayanan önceki yinelemelerinden dikkate değer bir farklılaştırıcıdır.
Overlay Attack, kıyaslandığında nispeten daha karmaşık ve verimli olup, TrickMo’nun 2019’daki başlangıcından bu yana geçirdiği evrimi ve ardından 2020 ve 2021’deki yinelemelerini sergiliyor.
TrickMo kötü amaçlı yazılımının bu versiyonu tarafından hedeflenen uygulamalar, geçmişte gözlemlenen Bankacılık Trojan davranışına uygun olarak genellikle bankacılık uygulamaları ve tarayıcılardır.
Clicker işlevi, kötü amaçlı yazılım yazarı tarafından tanımlanan bir dizi uygulamayla önceden yüklenmiştir; bunun üzerine TrickMo, bilgi çalma faaliyetlerini gerçekleştirmek için bir dizi önceden tanımlanmış filtre ve eylemle otomatik olarak tıklayarak yürütülür.
Kötü amaçlı yazılım daha sonra kurbanın bilgisi olmadan bu uygulamaları ve etkinlikleri ele geçirilen cihazda başarılı bir şekilde otomatik olarak çalıştırabilir; bu da TrickMo’nun son yıllarda geçirdiği evrimin düzeyini gösterir.
Benzer bir temada TrickMo, Clicker işlevi aracılığıyla başlattığı çalışan uygulamalardan veri toplamak yerine, MediaProjection API aracılığıyla ekran kaydetmeye olan bağımlılığını ortadan kaldırarak Erişilebilirlik olay günlüklerini toplamayı tercih etti.
Erişilebilirlik olay günlüğü verileri, kurbanın cihazından toplandıktan sonra kötü amaçlı yazılım yazarına zip dosyası biçiminde geri gönderilir.
Android İşletim Sistemlerine yerleşik Erişilebilirlik Hizmetinin genellikle bu tür etkinlikleri caydırdığını belirtmekte fayda var; bu nedenle TrickMo’nun hedef cihazda başarılı bir şekilde çalışmasının ön koşullarından biri, amaçlanan kurbanın uygulamaya Erişilebilirlik Hizmeti erişimine izin vermesidir; bu, TrickMo’nun tekrar tekrar yapacağı bir şeydir. yapmalarını isteyin.
Bu yeni özelliklerle, TrickMo’nun genişletilmiş cephaneliği şu anda toplam 45 komuttan oluşuyor ve her biri, kurbanların cihazlarından hassas verileri tehlikeye atmak veya bu verileri sızdırmak için kendi belirlenmiş kötü amaçlı amacına sahip.
Bu kesinlikle karmaşık ve tehlikeli bir kötü amaçlı yazılım türü olsa da, bazı temel siber hijyeni uygulamak, mobil kullanıcıların kendilerini TrickMo ve diğer benzer kötü amaçlı yazılımlardan korumalarına yardımcı olabilir. Bu adımlardan birkaçını aşağıda listeledik:
- İşletim sisteminizi tüm cihazlarınızda düzenli olarak güncelleyin
- Yan yükleme veya bağlantılar gibi doğrulanmamış kaynaklardan uygulama indirmeyin. Çalıştırdığınız tüm uygulamaların Google Play Store ve iOS App Store gibi resmi yazılım platformlarından olduğundan emin olun
- Herhangi bir uygulamaya Erişilebilirlik Hizmeti erişimi verme konusunda dikkatli olun
- Kötü amaçlı yazılımları tespit etmek ve karantinaya almak için cihazlarınızda güçlü, tanınmış antivirüs ve kötü amaçlı yazılımdan koruma yazılımı çalıştırın
- Mobil cihazınıza, özellikle de bilinmeyen gönderenlerden gelen bağlantıları veya ekleri, öncelikle orijinalliklerini doğrulamadan açmayın.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.