بدافزار TrickMo

کارشناسان شرکت آی‌بی‌ام (IBM) در گزارشی اعلام کردند بدافزار تریک‌مو (TrickMo) که نخستین بار توسط متخصصان آلمانی شناسایی‌شده است، به‌تازگی کاربران اندروید را هدف قرار داده و احراز هویت دوعاملی را دور می‌زند.

بدافزار TrickMo
بدافزار TrickMo


این بدافزار که توسط توسعه‌دهندگان تروجان بانکی تریک‌بات (Trickbot) ساخته‌شده است، رمزهای احراز هویت یک‌بارمصرف ارسال‌شده از طریق پیامک به مشتریان بانکی را های‌جک کرده و آن‌ها را به سرور فرماندهی و کنترل خود ارسال می‌کند. کاربران ویندوزی که به نسخه دسکتاپ بدافزار تریک‌بات آلوده‌شده‌اند، در دام تریک‌مو نیز گرفتار می‌شوند.

تریک‌بات سایت‌های بانکی را که کاربر به آن‌ها مراجعه می‌کند، شناسایی کرده و در مرورگر کاربر اقدام به ایجاد صفحات جعلی کرده و کاربر را به نصب آنتی‌ویروس‌های جعلی آواست جهت محافظت از حساب‌های کاربریش می‌کند. زمانی که کاربر اقدام به نصب آنتی‌ویروس می‌کند به دام تریک‌مو می‌افتد.

تریک‌مو به‌محض اینکه آنتی‌ویروس جعلی نصب می‌شود، دسترسی به سرویس‌های Accessibility را از کاربر طلب می‌کند و با امتیازاتی که از این طریق به دست می‌آورد با دستگاه کاربر تعامل برقرار کرده و داده‌های نمایش داده‌شده روی صفحه یک برنامه را ضبط و یا پاک می‌کند، بر برنامه‌های در حال اجرا نظارت کرده و حتی خود را به‌عنوان نرم‌افزار دریافت پیامک پیش‌فرض تنظیم می‌کند تا پیام‌های ارسال‌شده از سوی بانک را به سرور فرماندهی و کنترل ارسال نماید.

تریک‌مو اطلاعات دستگاه هدف را جمع‌آوری و به مهاجمان ارسال می‌کند تا بتوانند از اثرانگشت کاربر در تراکنش‌های مالی استفاده نمایند. این بدافزار صفحه دستگاه کاربر را قفل و یک پیام به‌روزرسانی تمام صفحه اندروید نمایش می‌دهد تا سرقت رمزهای پویا و عملیات مخرب خود را از دید کاربر مخفی نگه دارد. تریک‌مو قابلیت خود تخریبی دارد و پس از یک عملیات موفقیت‌آمیز ردپایی از خود برجای نمی‌گذارد.

طبق گزارش آی‌بی‌ام، بدافزار یادشده در حال حاضر علیه کاربران بانک‌های آلمان که از احراز هویت دوعاملی بسیار استفاده می‌کنند، به کار گرفته می‌شود. نام این بدافزار اشاره مستقیمی به بدافزار بانکی اندروید «ZitMo» دارد که در سال 2011 توسط گروه «Zeus» برای دور زدن سیستم احراز هویت دوعاملی از طریق پیامک توسعه داده‌شده بود.