Przestępcy z grupy TrickBot wykorzystują złośliwą aplikację mobilną do omijania uwierzytelniania dwuskładnikowego.

Jeśli użytkownik zainstaluje do swoim urządzeniu aplikację TrickMo jest ona w stanie przechwytywać uwierzytelnienia dla prawie wszystkich transakcji. Korzystasz z kodów jednorazowych (TAN), pushTAN, mobileTAN czy jednorazowych haseł? Żadna z tych metod nie będzie już bezpieczna.

Na ślad nowego zagrożenia specjaliści natrafili kilka miesięcy temu – we wrześniu 2019. Posiadacze zainfekowanych komputerów z systemem Windows byli proszeni o podanie numeru telefonu oraz/lub typu bankowości online. Jaki był tego cel? Skłonienie ofiar do zainstalowania fałszywej aplikacji bezpieczeństwa.

Na ten moment kampania jest prowadzona wyłącznie na terenie Niemiec. Aplikacja udaje dwa popularne produkty: Avast Security Control oraz narzędzie Deutsche Bank Security Control. Aplikacja przekazuje wiadomości zawierające numery mTAN do operatorów TrickBot, a ci z kolei wykorzystują je do finalizacji własnych transakcji finansowych.

Na ten moment, ofiary nie są w stanie odinstalować zagrożenie ze swojego telefonu. TrickMo zmienia ustawienie urządzenia, staje się domyślną aplikacją do wysyłania i odbierania SMS-ów, a także monitoruje działanie innych programów. I ofiary nic nie podejrzewają? Przed długi czas nie. TrickMo jest w stanie wykasowywać wiadomości z kodami, tak więc użytkownik nie jest nawet świadom, że otrzymał kod uwierzytelniający z banku.

Źródło