最新研究发现，TrickMo Android银行木马出现了40个新变种，利用虚假锁屏界面窃取用户密码，并具备多项恶意功能。这些变种与16个下载器及22个命令控制基础设施相关联，攻击者可以通过钓鱼手段获取用户的金融凭证。

近期，Zimperium和Cleafy的安全研究人员发现了TrickMo Android银行木马的40个新变种。这些新变种与16个下载器和22个命令控制（C2）基础设施相关，具备窃取Android用户密码的新功能。

TrickMo首次被IBM X-Force于2020年记录，但据信早在2019年就已开始针对Android用户进行攻击。最新的变种通过虚假锁屏界面来窃取用户的解锁模式和PIN码，增加了攻击的隐蔽性和有效性。

新版本的TrickMo具有多种功能，包括一次性密码（OTP）拦截、屏幕录制、数据外泄和远程控制等。恶意软件利用强大的辅助功能服务权限，自动点击用户提示，增加其权限。

Zimperium的分析显示，恶意软件能够创建伪造的银行和金融机构登录界面，欺骗用户输入账户凭证。一项新的欺骗性解锁屏幕模仿真实的Android解锁提示，试图窃取用户的PIN码或解锁模式。当用户输入信息时，这些数据将被发送到外部服务器，便于攻击者实施后续欺诈。

由于C2基础设施的安全防护不当，Zimperium能够确定至少有13,000名受害者受到了该恶意软件的影响，受害者主要集中在加拿大、阿联酋、土耳其和德国。每当恶意软件成功渗出凭证时，其IP列表文件会定期更新，研究人员发现这些文件中包含数百万条记录，表明被攻击设备数量庞大，潜在的敏感数据也随之泄露。

为减少感染风险，用户应避免从不明来源下载APK文件，并确保Google Play Protect处于激活状态以识别和阻止已知的TrickMo变种。随着攻击手段的不断升级，用户的网络安全意识显得尤为重要。

资讯来源：bleepingcomputer

转载请注明出处和本文链接

[峰会]看雪.第八届安全开发者峰会10月23日上海龙之梦大酒店举办！