{"id":3195,"date":"2024-10-15T01:14:46","date_gmt":"2024-10-15T06:14:46","guid":{"rendered":"https:\/\/zidrave.net\/?p=3195"},"modified":"2024-10-15T01:16:27","modified_gmt":"2024-10-15T06:16:27","slug":"phishing-y-robo-de-pin-la-peligrosa-evolucion-del-troyano-trickmo-en-android","status":"publish","type":"post","link":"https:\/\/zidrave.net\/index.php\/2024\/10\/15\/phishing-y-robo-de-pin-la-peligrosa-evolucion-del-troyano-trickmo-en-android\/","title":{"rendered":"Phishing y robo de PIN: la peligrosa evoluci\u00f3n del troyano TrickMo en Android"},"content":{"rendered":"\n<p>Se han identificado cuarenta nuevas variantes del troyano bancario TrickMo para Android, vinculadas a 16 droppers y 22 infraestructuras de comando y control (C2) distintas, con funcionalidades avanzadas que incluyen el robo de PIN de dispositivos Android.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"758\" height=\"648\" src=\"https:\/\/zidrave.net\/wp-content\/uploads\/2024\/10\/image-55.png\" alt=\"\" class=\"wp-image-3197\" srcset=\"https:\/\/zidrave.net\/wp-content\/uploads\/2024\/10\/image-55.png 758w, https:\/\/zidrave.net\/wp-content\/uploads\/2024\/10\/image-55-300x256.png 300w\" sizes=\"auto, (max-width: 758px) 100vw, 758px\" \/><\/figure>\n\n\n\n<p>Este descubrimiento proviene de un informe de Zimperium, que ampl\u00eda los hallazgos previos de Cleafy, el cual solo hab\u00eda cubierto algunas de las variantes en circulaci\u00f3n. TrickMo fue documentado por primera vez en 2020 por IBM X-Force, pero se cree que sus ataques contra usuarios de Android se remontan al menos a septiembre de 2019.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Funciones avanzadas de TrickMo<\/h3>\n\n\n\n<p>Entre las nuevas capacidades del malware se encuentran la intercepci\u00f3n de contrase\u00f1as de un solo uso (OTP), grabaci\u00f3n de pantalla, exfiltraci\u00f3n de datos y control remoto, lo que lo convierte en una amenaza altamente sofisticada. Adem\u00e1s, el malware explota el Servicio de Accesibilidad de Android para autoconcederse permisos adicionales y automatizar respuestas a solicitudes.<\/p>\n\n\n\n<p>Como troyano bancario, TrickMo muestra superposiciones de pantalla para simular p\u00e1ginas de inicio de sesi\u00f3n de varios bancos e instituciones financieras, con el objetivo de robar credenciales y permitir a los atacantes realizar transacciones no autorizadas en las cuentas comprometidas.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Robo de PIN a trav\u00e9s de una pantalla de bloqueo falsa<\/h3>\n\n\n\n<p>Una de las caracter\u00edsticas m\u00e1s peligrosas de esta nueva versi\u00f3n es una pantalla de desbloqueo enga\u00f1osa que imita el mensaje real de Android, dise\u00f1ada espec\u00edficamente para robar el patr\u00f3n de desbloqueo o el PIN del usuario. Seg\u00fan Zimperium, esta interfaz fraudulenta es una p\u00e1gina HTML alojada externamente que se muestra en pantalla completa, simulando ser una pantalla leg\u00edtima. Una vez que el usuario introduce su patr\u00f3n o PIN, los datos, junto con el identificador \u00fanico del dispositivo (ID de Android), son enviados a un script PHP para su recolecci\u00f3n.<\/p>\n\n\n\n<p>Este acceso al PIN permite a los atacantes desbloquear el dispositivo cuando no est\u00e1 siendo vigilado, facilitando la ejecuci\u00f3n de fraudes, incluso durante la noche.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Extensi\u00f3n y v\u00edctimas de TrickMo<\/h3>\n\n\n\n<p>Zimperium tambi\u00e9n logr\u00f3 determinar, gracias a la infraestructura C2 mal configurada del malware, que TrickMo ha afectado al menos a 13,000 usuarios, en su mayor\u00eda de Canad\u00e1, Emiratos \u00c1rabes Unidos, Turqu\u00eda y Alemania. Sin embargo, este n\u00famero corresponde solo a algunos servidores C2, por lo que el n\u00famero total de v\u00edctimas podr\u00eda ser significativamente mayor.<\/p>\n\n\n\n<p>Durante su an\u00e1lisis, Zimperium descubri\u00f3 millones de registros en los archivos exfiltrados, lo que evidencia la magnitud de los dispositivos comprometidos y la cantidad de datos sensibles que TrickMo ha robado.<\/p>\n\n\n\n<p>A pesar de que anteriormente Cleafy opt\u00f3 por no revelar p\u00fablicamente los indicadores de compromiso, Zimperium ha decidido hacerlo, publicando la informaci\u00f3n en un repositorio de GitHub. Esta acci\u00f3n busca mitigar el riesgo de que los datos de las v\u00edctimas queden expuestos a otros ciberdelincuentes debido a la infraestructura mal protegida de TrickMo.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Amplitud de los ataques<\/h3>\n\n\n\n<p>Aunque TrickMo es conocido por atacar principalmente aplicaciones bancarias, su alcance parece haberse ampliado para incluir otras plataformas, como servicios de VPN, streaming, comercio electr\u00f3nico, redes sociales, reclutamiento y plataformas empresariales.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">C\u00f3mo protegerse<\/h3>\n\n\n\n<p>Actualmente, TrickMo se propaga principalmente a trav\u00e9s de campa\u00f1as de phishing, por lo que se recomienda evitar descargar archivos APK de enlaces enviados a trav\u00e9s de SMS o mensajes directos de remitentes desconocidos. Adem\u00e1s, Google Play Protect es capaz de identificar y bloquear las variantes conocidas de TrickMo, por lo que es fundamental asegurarse de que esta protecci\u00f3n est\u00e9 activada en el dispositivo para reducir el riesgo de infecci\u00f3n.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Se han identificado cuarenta nuevas variantes del troyano bancario TrickMo<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[3893,2377,2375],"tags":[1187,8257,5281,8259,5549,8262,8266,8256,8263,188,191,8261,8258,4741,8255,8267,8265,8260,195,8264],"class_list":["post-3195","post","type-post","status-publish","format-standard","hentry","category-android","category-ciberseguridad","category-internet","tag-android","tag-c2-infraestructuras","tag-control-remoto","tag-credenciales-bancarias","tag-exfiltracion-de-datos","tag-fraude-en-dispositivos","tag-google-play-protect","tag-ibm-x-force","tag-intercepcion-otp","tag-malware","tag-phishing","tag-phishing-android","tag-robo-de-pin","tag-seguridad-movil","tag-superposicion-de-pantalla","tag-trickmo","tag-troyano-bancario","tag-variantes-trickmo","tag-vulnerabilidades","tag-zimperium"],"_links":{"self":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/3195","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/comments?post=3195"}],"version-history":[{"count":2,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/3195\/revisions"}],"predecessor-version":[{"id":3198,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/3195\/revisions\/3198"}],"wp:attachment":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/media?parent=3195"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/categories?post=3195"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/tags?post=3195"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}