TrickMo Android 木马利用辅助功能服务进行设备银行欺诈

网络安全研究人员发现了一种名为 TrickMo 的 Android 银行木马的新变体，该木马具有逃避分析并显示虚假登录屏幕以捕获受害者银行凭证的新功能。

“这些机制包括将格式错误的 ZIP 文件与 JSONPacker 结合使用，”Cleafy 安全研究人员 Michele Roviello 和 Alessandro Strino 说。“此外，该应用程序是通过共享相同反分析机制的 dropper 应用程序安装的。”

“这些功能旨在逃避检测并阻碍网络安全专业人员分析和缓解恶意软件的努力。”

TrickMo 于 2019 年 9 月首次被 CERT-Bund 发现，它有针对 Android 设备的历史，特别是针对德国用户窃取一次性密码 （OTP） 和其他双因素身份验证 （2FA） 代码以促进金融欺诈。

这种以移动为中心的恶意软件被评估为现已解散的 TrickBot 电子犯罪团伙所为，随着时间的推移，该团伙不断改进其混淆和反分析功能，以便在雷达下飞行。

其中值得注意的是它能够记录屏幕活动、记录击键、收集照片和 SMS 消息、远程控制受感染设备进行设备欺诈 （ODF），以及滥用 Android 的辅助功能服务 API 进行 HTML 覆盖攻击以及在设备上执行点击和手势。

意大利网络安全公司发现的恶意 dropper 应用程序伪装成 Google Chrome 网络浏览器，安装后启动后，会敦促受害者通过单击“确认”按钮更新 Google Play 服务。

如果用户继续更新，则会以“Google 服务”为幌子将包含 TrickMo 有效负载的 APK 文件下载到设备，然后要求用户为新应用程序启用辅助功能服务。

“无障碍服务旨在通过提供与设备交互的替代方式来帮助残障用户，”研究人员说。“但是，当被 TrickMo 等恶意应用程序利用时，这些服务可以授予对设备的广泛控制权。”

“这种提升的权限允许 TrickMo 执行各种恶意操作，例如拦截 SMS 消息、处理通知以拦截或隐藏身份验证代码，以及执行 HTML 覆盖攻击以窃取用户凭据。此外，该恶意软件可以关闭键盘锁并自动接受权限，使其能够无缝集成到设备的操作中。

此外，滥用辅助功能服务允许恶意软件禁用关键的安全功能和系统更新，随意自动授予权限，并阻止卸载某些应用程序。

Cleafy 的分析还发现了命令和控制 （C2） 服务器中的错误配置，这使得访问从设备中泄露的 12 GB 敏感数据（包括凭据和图片）成为可能，而无需任何身份验证。

C2 服务器还托管覆盖攻击中使用的 HTML 文件。这些文件包含各种服务的虚假登录页面，包括 ATB Mobile 和 Alpha Bank 等银行以及 Binance 等加密货币平台。

安全漏洞不仅凸显了威胁行为者的运营安全 （OPSEC） 错误，而且还使受害者的数据面临被其他威胁行为者利用的风险。

TrickMo 的 C2 基础设施暴露的大量信息可用于身份盗窃、渗透各种在线账户、进行未经授权的资金转移，甚至进行欺诈性购买。更糟糕的是，攻击者可能会劫持帐户并通过重置密码将受害者锁定在外面。

研究人员指出：“使用个人信息和图像，攻击者可以制作令人信服的消息，诱骗受害者泄露更多信息或执行恶意操作。

“利用如此全面的个人数据会导致直接的经济和声誉损失，并给受害者带来长期后果，使恢复成为一个复杂而漫长的过程。”

此次披露之际，谷歌一直在填补旁加载的安全漏洞，让第三方开发者确定他们的应用程序是否使用 Play Integrity API 进行旁加载，如果是，则要求用户从 Google Play 下载应用程序才能继续使用它们。