TrickBot: El troyano bancario busca evadir la autenticación doble factor

Los cibercriminales detrás del troyano bancario TrickBot han desarrollado una aplicación para Android que les permite interceptar códigos de autorización de un sólo uso enviados por SMS o notificaciones push, con el fin de poder llevar a cabo transacciones fraudulentas aún en casos en que se utilice autenticación de doble factor.

 

Si bien ahora se oye más acerca de TrickBot por el hecho de que se encuentra distribuyendo el ransomware Ryuk, no hay que olvidar que desde sus orígenes en el año 2016, este malware ha sido un troyano bancario, cuyo foco es el robo de credenciales bancarias para que luego sus operadores puedan cometer fraudes y robar dinero a sus víctimas.

 

Investigadores de IBM X-Force han descubierto una aplicación para Android, a la que llamaron TrickMo (a modo de referencia hacia ZitMo, otro malware bancario en Android que también buscaba evadir autenticación de doble factor), que se encontraría siendo activamente desarrollada y con un foco exclusivo (de momento, al menos) sobre usuarios alemanes cuyos ordenadores ya hayan sido infectados por TrickBot.

 

Una vez presente en un dispositivo, TrickMo es capaz de interceptar diferentes números para autenticación de transacciones, como pueden ser One-Time Passwords, mobile TANs y pushTANs.

 

Para lograr que una víctima instale la aplicación maliciosa en Android, TrickBot logra en los ordenadores Windows mediante un ataque Man-In-The-Browser mostrar una ventana que solicita a la víctima el número de teléfono y tipo de dispositivo que utiliza para su online banking, tras lo cual le solicita que instale la aplicación bajo el pretexto de que es por motivos de seguridad. 

 

Una vez instalado, TrickMo abusa de las características de accesibilidad de Android para permitirse grabar vídeo sobre la pantalla (y así robar TANs de notificaciones push), leer los datos mostrados en la misma, monitorear aplicaciones instaladas e incluso configurarse como la aplicación de SMS por defecto. Sumado a lo anterior, también evita que los usuarios puedan desinstalarle.

 

Sumado al robo de TANs, el malware es capaz de recibir órdenes bien desde un servidor de Command & Control o un mensaje SMS, permitiendo a sus operadores el envío de comandos para habilitar o deshabilitar diferentes funcionalidades. También se ha visto que exfiltra información sobre el dipositivo, SMS y fotos, además de los códigos de autorización.

 

Otras características avanzadas de este malware, son el hecho de que bloquea la pantalla cuando roba códigos autenticación de doble factor, mostrando una falsa pantalla de actualización de Android e impidiendo a los usuarios desbloquear el móvil. También el hecho de que cuenta con un killswitch que puede recibir por SMS y permite a los cibercriminales eliminar toda evidencia del malware en el dispositivo tras haber cumplido sus funciones y desinstalarle.