A CERT-Bund nevű német kiberbiztonsági vállalat 2019 szeptemberében bukkant először a TrickMo nevű kártevőre, ami elsősorban németországi Android-felhasználókat célzott meg, hogy egyszer használatos jelszavakat, valamint kétlépcsős azonosítókódokat lopjon. A cél banki csalások elkövetése volt – és most itt a továbbfejlesztett, új változat.

A régi-új kártevő több funkcióval is bővült, melyek célja, hogy megnehezítse az észlelhetőséget – így leplezve magát. Az új TrickMo képes felvételt készíteni a képernyő tartalmáról, naplózni a billentyűleütéseket, ellopni a fotókat és az sms-eket, és távolról irányítani az eszközt – megkönnyítve a csalást.

A terjesztése egy Chrome böngésző(nek látszó) alkalmazással történik, és telepítés után az első indításkor azt kéri a felhasználótól, hogy egy „Megerősítés” gombra kattintva frissítse a Google Play Szolgáltatásokat – részletezi a The Hacker News.

Ha valaki végigviszi a „frissítés” folyamatát, egy olyan APK-fájlt telepít az eszközére, aminek köze sincs a nevezett Google szolgáltatáscsomaghoz. Indítás után engedélyt kér a kisegítő szolgáltatásokhoz, melyek hivatalosan a fogyatékossággal élők mobilhasználatát hivatottak segíteni – úgy, hogy megkönnyítik az eszközzel történő interakciót. Rosszindulatú alkalmazások ugyanakkor kihasználhatják ezt a képességet, és kiterjedt irányítást szerezhetnek a fertőzött készülék felett.

És mint azt fentebb taglaltuk, tényleg teljes irányításról van szó: távolról is vezérelhetik az eszközt, akár további engedélyeket is elfogadva.

A Cleafy elemzése egyébként rámutatott egy olyan konfigurációs hibára is, ami abban a parancsszerverben volt, amivel a támadó távolról irányíthatta az áldozat eszközét. Így ki lehetett nyerni 12 GB érzékeny adatot a célszemély mobiljáról – ez csak a hab a tortán, mert ezt más támadók is kihasználhatják az adatok ellopására.

De „normál” üzemben a támadó egy weboldalt is ki tud küldeni az áldozatnak, például bankok bejelentkezési képernyőit imitálva. Ha valaki itt megadja az adatait, az rögtön a rosszindulatú félnél landol.

A készülékről szerzett adatok segítségével személyazonosság-lopás, pénz átutalás és csalárd vásárlás is végrehajtható, sok más mellett – tehát igen veszélyes kártevő a TrickMo.

A megelőzés, mint sok esetben, most is az, hogy ne telepítsen alkalmazásokat a Play Áruházon kívüli forrásból – mint a fenti példa is mutatja, sokszor kártékony „rakománnyal” érkeznek, ami az összes adatára veszélyt jelenthet. Akár a pénzét is ellophatják.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.