TrickMo: вирус, который ворует PIN-коды на Android через фейковые локскрины

Новый вирус TrickMo, впервые обнаруженный IBM X-Force в 2020 году, получил обновления, и теперь его используют для кражи PIN-кодов разблокировки Android через фейковые локскрины.

Вирус распространяется через фишинговые схемы и нацелен на пользователей по всему миру, особенно в Канаде, ОАЭ, Турции и Германии.

Основные характеристики TrickMo

• Фейковый экран разблокировки: Вирус имитирует реальный экран разблокировки устройства, чтобы похитить PIN-коды и графические ключи.
• Перехват OTP и удаленное управление: TrickMo способен записывать экран, управлять устройством удаленно и перехватывать одноразовые пароли (OTP), что позволяет мошенникам выполнять несанкционированные операции.
• Эксплуатация сервисов доступности: Вирус использует мощные разрешения Accessibility Service для автоматического нажатия на системные запросы и получения дополнительных разрешений.

Поддельный локскрин от TrickMo

Zimperium, исследовавший новые варианты TrickMo, сообщил, что злоумышленники используют поддельные банковские экраны для кражи данных.

Вредоносный код передает украденные данные (например, PIN-коды и идентификаторы устройств) на внешние серверы для последующего использования.

Как защититься

• Избегайте загрузки APK-файлов из подозрительных источников: TrickMo распространяется через фишинговые ссылки, поэтому не загружайте приложения из неизвестных источников.
• Используйте Google Play Protect: Эта система способна обнаруживать и блокировать известные варианты TrickMo, обеспечивая базовую защиту.

Сейчас вирус поражает не только банковские приложения, но и платформы VPN, стриминговые сервисы, соцсети и торговые приложения, что делает его ещё более опасным для широкого круга пользователей.