TrickMo lần đầu tiên được các nhà nghiên cứu của tập đoàn công nghệ IBM ghi nhận vào năm 2020, nhưng nhiều chuyên gia cho rằng nó đã được sử dụng trong các cuộc tấn công nhằm vào người dùng Android kể từ ít nhất tháng 9/2019. Giờ đây, phần mềm độc hại này đã trở nên tinh vi và gây ra mối đe dọa đáng kể cho người dùng Android.

Màn hình khóa giả mạo để đánh cắp mã PIN Android

Các tính năng chính của phiên bản TrickMo mới bao gồm chặn mật khẩu một lần (OTP), ghi lại màn hình, đánh cắp dữ liệu, điều khiển từ xa,… Phần mềm độc hại này sẽ cố gắng lạm dụng quyền Dịch vụ trợ năng để cấp cho chính nó các quyền bổ sung và tự động nhấn vào lời nhắc khi cần.

Với đặc điểm là một trojan ngân hàng, TrickMo cung cấp một lớp phủ màn hình đăng nhập lừa đảo đến nhiều ngân hàng và tổ chức tài chính khác nhau, để đánh cắp thông tin tài khoản của nạn nhân và cho phép kẻ tấn công thực hiện các giao dịch trái phép.

Hình 1. Màn hình đăng nhập giả mạo trong các cuộc tấn công

Các nhà nghiên cứu của Zimperium (Hoa Kỳ) khi phân tích những biến thể mới này cũng báo cáo về một màn hình mở khóa lừa đảo mới mạo danh lời nhắc mở khóa Android hợp lệ, với mục tiêu đánh cắp hình mở khóa hoặc mã PIN của người dùng.

“Giao diện màn hình lừa đảo là một trang HTML được lưu trữ trên một trang web và hiển thị ở chế độ toàn màn hình trên thiết bị, khiến nó trông giống như một màn hình hợp pháp. Khi người dùng nhập hình mở khóa hoặc mã PIN, trang web sẽ gửi mã PIN hoặc thông tin chi tiết về hình mở khóa, cùng với mã định danh thiết bị duy nhất (ID Android) đến một tập lệnh PHP”, Zimperium giải thích.

Hình 2. Màn hình khóa Android giả mạo

Việc đánh cắp mã PIN cho phép kẻ tấn công mở khóa thiết bị khi thiết bị không được giám sát chặt chẽ, có thể là vào lúc đêm khuya, để thực hiện hành vi gian lận trên thiết bị.

Các nạn nhân bị ảnh hưởng

Do cơ sở hạ tầng C2 không được bảo mật đúng cách, các nhà nghiên cứu của Zimperium đã có thể xác định rằng ít nhất 13.000 nạn nhân bị ảnh hưởng bởi TrickMo, hầu hết ở Canada và một số lượng đáng kể ở Các Tiểu vương quốc Ả Rập Thống nhất, Thổ Nhĩ Kỳ và Đức.

Hình 3. Khu vực bị ảnh hưởng bởi TrickMo

Theo Zimperium, tệp danh sách IP được cập nhật thường xuyên bất cứ khi nào phần mềm độc hại đánh cắp thành công thông tin đăng nhập. Các nhà nghiên cứu phát hiện ra hàng triệu bản ghi trong các tệp này, cho thấy số lượng lớn các thiết bị bị xâm phạm và lượng lớn dữ liệu nhạy cảm bị các tác nhân đe dọa đánh cắp.

Hãng bảo mật Cleafy (Ý) trước đây đã không tiết lộ các chỉ số thỏa hiệp (IOC) do cơ sở hạ tầng C2 của những kẻ tấn công có thể làm lộ dữ liệu của nạn nhân cho cộng đồng tội phạm mạng rộng lớn hơn. Zimperium hiện đã chọn công khai mọi thứ trong tại đây.

Tuy nhiên, phạm vi nhắm mục tiêu của TrickMo có vẻ đủ rộng để bao gồm các loại ứng dụng (tài khoản) ngoài ngân hàng, bao gồm VPN, nền tảng phát trực tuyến, nền tảng thương mại điện tử, giao dịch, phương tiện truyền thông xã hội, tuyển dụng và nền tảng doanh nghiệp.

Các nhà nghiên cứu cho biết TrickMo đang lây lan với tốc độ khá nhanh qua hình thức lừa đảo trực tuyến, vì vậy để giảm thiểu khả năng bị nhiễm, người dùng cần tránh tải xuống tệp APK từ URL được gửi qua SMS hoặc tin nhắn trực tiếp từ những người lạ không quen biết.

Google Play Protect có thể xác định và chặn các biến thể đã biết của TrickMo, do đó, người dùng nên đảm bảo ứng dụng này được bật trên thiết bị và rà quét thường xuyên để bảo vệ chống lại TrickMo cũng như các mối đe dọa khác.