TrickMo

¿Qué es?

TrickMo es un malware de tipo troyano bancario que se enfoca en infectar dispositivos Android para realizar fraudes financieros y robo de información sensible. Además, proporciona una puerta trasera a los atacantes que permite incluir el dispositivo como parte de una botnet y realizar otras actividades maliciosas de manera distribuida.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones:

• Intercepta contraseñas de un solo uso (OTP) mediante la captura de códigos de autenticación enviados por SMS o generados por aplicaciones, lo que permite a los atacantes eludir mecanismos de autenticación de dos factores.
• Graba la pantalla del dispositivo en tiempo real para capturar información confidencial, como credenciales de inicio de sesión y detalles bancarios introducidos por el usuario.
• Extrae y roba información sensible almacenada en el dispositivo, como credenciales bancarias, listas de contactos, registros de llamadas y datos de autenticación de aplicaciones de banca móvil.
• Permite el control remoto del dispositivo por parte de los atacantes, quienes pueden manipular aplicaciones bancarias y realizar transacciones fraudulentas sin que el usuario lo perciba.
• Superpone interfaces falsas sobre aplicaciones legítimas mediante ataques de overlay para capturar credenciales sin el conocimiento del usuario.
• Roba el PIN o patrón de desbloqueo del dispositivo al presentar una pantalla de bloqueo falsa que engaña al usuario para que ingrese sus credenciales de acceso.
• Modifica la configuración del dispositivo para desactivar notificaciones de seguridad, bloquear el acceso a configuraciones críticas e impedir su desinstalación.
• Instala módulos adicionales para mejorar sus capacidades de ataque, como registradores de teclas (keyloggers) y herramientas para evadir sistemas de detección de fraudes bancarios.
• Manipula el tráfico de red y redirige las sesiones bancarias para capturar información confidencial sin necesidad de que el usuario interactúe.
• Borra registros de llamadas y mensajes entrantes relacionados con códigos de verificación bancaria para que la víctima no detecte la actividad sospechosa en su cuenta.

Sistemas afectados

Los principales dispositivos afectados son:

• Dispositivos con sistemas Android.

¿Cómo me infecta?

Este malware infecta a los dispositivos, sobre todo, a través de correos electrónicos de phishing con archivos adjuntos maliciosos, a través de la descarga de software comprometido y a través de enlaces fraudulentos.

Cómo desinfectar mi equipo

Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners de Android.

Más información

• A new TrickMo saga: from banking trojan to victim's data leak (Cleafy)
• Expanding the Investigation: Deep Dive into Latest TrickMo Samples (Zimperium)
• Nuevas variantes del troyano bancario TrickMo (CSIRT Financiero)
• TrickMo. Un tipo de malware que amenaza tus finanzas (Banco de España)
• TrickMo (Malpedia)