Se han identificado cuarenta nuevas variantes del troyano bancario TrickMo para Android, vinculadas a 16 droppers y 22 infraestructuras de comando y control (C2) distintas, con funcionalidades avanzadas que incluyen el robo de PIN de dispositivos Android.
Este descubrimiento proviene de un informe de Zimperium, que amplía los hallazgos previos de Cleafy, el cual solo había cubierto algunas de las variantes en circulación. TrickMo fue documentado por primera vez en 2020 por IBM X-Force, pero se cree que sus ataques contra usuarios de Android se remontan al menos a septiembre de 2019.
Funciones avanzadas de TrickMo
Entre las nuevas capacidades del malware se encuentran la intercepción de contraseñas de un solo uso (OTP), grabación de pantalla, exfiltración de datos y control remoto, lo que lo convierte en una amenaza altamente sofisticada. Además, el malware explota el Servicio de Accesibilidad de Android para autoconcederse permisos adicionales y automatizar respuestas a solicitudes.
Como troyano bancario, TrickMo muestra superposiciones de pantalla para simular páginas de inicio de sesión de varios bancos e instituciones financieras, con el objetivo de robar credenciales y permitir a los atacantes realizar transacciones no autorizadas en las cuentas comprometidas.
Robo de PIN a través de una pantalla de bloqueo falsa
Una de las características más peligrosas de esta nueva versión es una pantalla de desbloqueo engañosa que imita el mensaje real de Android, diseñada específicamente para robar el patrón de desbloqueo o el PIN del usuario. Según Zimperium, esta interfaz fraudulenta es una página HTML alojada externamente que se muestra en pantalla completa, simulando ser una pantalla legítima. Una vez que el usuario introduce su patrón o PIN, los datos, junto con el identificador único del dispositivo (ID de Android), son enviados a un script PHP para su recolección.
Este acceso al PIN permite a los atacantes desbloquear el dispositivo cuando no está siendo vigilado, facilitando la ejecución de fraudes, incluso durante la noche.
Extensión y víctimas de TrickMo
Zimperium también logró determinar, gracias a la infraestructura C2 mal configurada del malware, que TrickMo ha afectado al menos a 13,000 usuarios, en su mayoría de Canadá, Emiratos Árabes Unidos, Turquía y Alemania. Sin embargo, este número corresponde solo a algunos servidores C2, por lo que el número total de víctimas podría ser significativamente mayor.
Durante su análisis, Zimperium descubrió millones de registros en los archivos exfiltrados, lo que evidencia la magnitud de los dispositivos comprometidos y la cantidad de datos sensibles que TrickMo ha robado.
A pesar de que anteriormente Cleafy optó por no revelar públicamente los indicadores de compromiso, Zimperium ha decidido hacerlo, publicando la información en un repositorio de GitHub. Esta acción busca mitigar el riesgo de que los datos de las víctimas queden expuestos a otros ciberdelincuentes debido a la infraestructura mal protegida de TrickMo.
Amplitud de los ataques
Aunque TrickMo es conocido por atacar principalmente aplicaciones bancarias, su alcance parece haberse ampliado para incluir otras plataformas, como servicios de VPN, streaming, comercio electrónico, redes sociales, reclutamiento y plataformas empresariales.
Cómo protegerse
Actualmente, TrickMo se propaga principalmente a través de campañas de phishing, por lo que se recomienda evitar descargar archivos APK de enlaces enviados a través de SMS o mensajes directos de remitentes desconocidos. Además, Google Play Protect es capaz de identificar y bloquear las variantes conocidas de TrickMo, por lo que es fundamental asegurarse de que esta protección esté activada en el dispositivo para reducir el riesgo de infección.