به گزارش کارگروه حملات سایبری سایبربان؛ کارشناسان شرکت آیبیام (IBM) در گزارشی اعلام کردند بدافزار تریکمو (TrickMo) که نخستین بار توسط متخصصان آلمانی شناساییشده است، بهتازگی کاربران اندروید را هدف قرار داده و احراز هویت دوعاملی را دور میزند.
این بدافزار که توسط توسعهدهندگان تروجان بانکی تریکبات (Trickbot) ساختهشده است، رمزهای احراز هویت یکبارمصرف ارسالشده از طریق پیامک به مشتریان بانکی را هایجک کرده و آنها را به سرور فرماندهی و کنترل خود ارسال میکند. کاربران ویندوزی که به نسخه دسکتاپ بدافزار تریکبات آلودهشدهاند، در دام تریکمو نیز گرفتار میشوند.
تریکبات سایتهای بانکی را که کاربر به آنها مراجعه میکند، شناسایی کرده و در مرورگر کاربر اقدام به ایجاد صفحات جعلی کرده و کاربر را به نصب آنتیویروسهای جعلی آواست جهت محافظت از حسابهای کاربریش میکند. زمانی که کاربر اقدام به نصب آنتیویروس میکند به دام تریکمو میافتد.
تریکمو بهمحض اینکه آنتیویروس جعلی نصب میشود، دسترسی به سرویسهای Accessibility را از کاربر طلب میکند و با امتیازاتی که از این طریق به دست میآورد با دستگاه کاربر تعامل برقرار کرده و دادههای نمایش دادهشده روی صفحه یک برنامه را ضبط و یا پاک میکند، بر برنامههای در حال اجرا نظارت کرده و حتی خود را بهعنوان نرمافزار دریافت پیامک پیشفرض تنظیم میکند تا پیامهای ارسالشده از سوی بانک را به سرور فرماندهی و کنترل ارسال نماید.
تریکمو اطلاعات دستگاه هدف را جمعآوری و به مهاجمان ارسال میکند تا بتوانند از اثرانگشت کاربر در تراکنشهای مالی استفاده نمایند. این بدافزار صفحه دستگاه کاربر را قفل و یک پیام بهروزرسانی تمام صفحه اندروید نمایش میدهد تا سرقت رمزهای پویا و عملیات مخرب خود را از دید کاربر مخفی نگه دارد. تریکمو قابلیت خود تخریبی دارد و پس از یک عملیات موفقیتآمیز ردپایی از خود برجای نمیگذارد.
طبق گزارش آیبیام، بدافزار یادشده در حال حاضر علیه کاربران بانکهای آلمان که از احراز هویت دوعاملی بسیار استفاده میکنند، به کار گرفته میشود. نام این بدافزار اشاره مستقیمی به بدافزار بانکی اندروید «ZitMo» دارد که در سال 2011 توسط گروه «Zeus» برای دور زدن سیستم احراز هویت دوعاملی از طریق پیامک توسعه دادهشده بود.
