Autori TrickBot-a zaobilaze dvofaktorsku autentifikaciju

Autori TrickBot-a zaobilaze dvofaktorsku autentifikaciju

Hakeri koji su napravili TrickBot razvili su Android aplikaciju koja presreće SMS i push notifikacije. TrickBot je trojanac koji najčešće cilja bankarski sektor. Nova Android aplikacija nazvana je TrickMo i koristi se za presretanje dvofaktorske autentifikacije, tj. jednokratnih kodova koji se koriste na mobilnim uređajima. Istraživači su otkrili da TrickMo cilja korisnike u Njemačkoj čiji su desktop računari zaraženi sa TrickBot malverom.

Naziv TrickMo je inspirisan sličnom Android aplikacijom pod nazivom ZitMo koja je kreirana od strane hakera koji su napravili Zeus bankarski trojanac.

Malver zloupotrebljava Android-ove accessiblity funkcionalnosti kako bi presreo širok spektar brojeva za autentifikaciju transakcija (TAN – transaction authentification numbers) kao što su jednokratne lozinke (OTP – One Time Passwords), mobilne TAN brojeve (mTAN) i pushTAN brojeve koje koriste push notifikacije.

CERT-Bund (CERT za institucije Njemačke federalne vlade) objavio je da nakon instaliranja TrickBot koristi MitM napad kako bi natjerao korisnika da instalira TrickMo na svoj telefon.

TrickMo ima mogućnost da ukrade različite informacije koje uključuju lične informacije o uređaju, SMS poruke, TAN brojeve i fotografije. Kako bi sakrio svoje aktivnosti prilikom krađe SMS poruka ili TAN brojeva, TrickMo zaključa ekran uređaja. Pored ovog kako bi sakrio tragove malver ima mogućnost samouništenja koja se aktivira enkriptovanom SMS porukom.

Izvor:    

thehackernews.com

securityintelligence.com