Android-користувачів попередили про небезпечний банківський троян

Виявлено нову версію шкідливого програмного забезпечення для Android, яке націлене на банківські операції та отримало назву TrickMo. Фактично йдеться про чергову еволюцію вже відомого сімейства шкідливого ПЗ, про яке повідомляють із 2019 року.

За даними аналітиків, це банківський троян, який активно розвивається протягом кількох років і має численні модифікації. Раніше його варіанти вже аналізувалися дослідниками безпеки, а нова кампанія, за спостереженнями з початку року, знову демонструє його активність у Європі.

Останню версію виявила компанія ThreatFabric. Шкідливе ПЗ маскується під популярні застосунки, зокрема під клієнти TikTok або стрімінгові сервіси, і націлене на користувачів банківських і криптовалютних додатків у Франції, Італії та Австрії.

Головною новою особливістю є використання мережевої інфраструктури The Open Network (TON) для прихованого зв’язку з командними серверами. Зокрема, застосовуються ADNL-адреси та локальні проксі-механізми, які запускаються прямо на заражених пристроях. Такий підхід ускладнює виявлення реальної серверної інфраструктури, оскільки традиційні IP-адреси та порти приховуються за криптографічними ідентифікаторами.

Функціонально цей троян здатен виконувати широкий спектр шкідливих дій: перехоплення банківських даних через фішингові накладки, кейлогінг, запис і трансляцію екрана в реальному часі, перехоплення SMS, а також блокування одноразових кодів підтвердження.

Фахівці з кібербезпеки наголошують, що користувачам слід бути особливо обережними з встановленням додатків поза офіційними магазинами, зокрема поза Google Play Store, а також завантажувати програми лише від перевірених розробників. Це залишається базовим способом зниження ризику зараження подібними банківськими троянами.