android

TrickMo podszywa się pod AdGuard - ryzyko kradzieży tożsamości bankowej

PREBYTES Security Incident Response Team

7 min read
TrickMo podszywa się pod AdGuard - ryzyko kradzieży tożsamości bankowej

W ciągu niespełna dwóch miesięcy jedna kampania malvertisingowa doprowadziła do ponad 8 tysięcy infekcji urządzeń mobilnych. Przestępcy przestali polegać tylko na przypadkowych kliknięciach w spam - teraz wykorzystują zaufanie do gigantów technologicznych (Google) i narzędzi bezpieczeństwa (AdGuard), aby dystrybuować trojana bankowego TrickMo. AdGuard to popularne oprogramowanie i rozszerzenie do przeglądarek, którego głównym zadaniem jest skuteczne blokowanie uciążliwych reklam oraz ukrytych skryptów śledzących. Ponadto narzędzie to chroni prywatność użytkowników w sieci, przyspiesza ładowanie stron internetowych i pomaga zabezpieczyć urządzenie przed dostępem do złośliwych witryn. Niniejszy artykuł analizuje mechanizm tej kampanii i wyjaśnia, dlaczego tradycyjna czujność użytkownika to za mało. Pokazuje też, jak zautomatyzowane ataki omijają proste zabezpieczenia.

SAFM (2).png

Atak ten jest wycelowany bezpośrednio w użytkowników bankowości mobilnej oraz organizacje stosujące model BYOD (przynieś własne urządzenie, ang. Bring Your Own Device). Zidentyfikowana kampania celuje w klientów największych polskich instytucji finansowych - analiza malware wykazała, że TrickMo monitoruje obecność aplikacji bankowych.
W artykule omówimy mechanizm działania kampanii złośliwego oprogramowania TrickMo. To świetny przykład na to, jak przestępcy wykorzystują wizerunek zaufanych marek - w tym przypadku AdGuarda - aby zainfekować nasze telefony niebezpiecznym trojanem bankowym.

Fałszywe reklamy AdGuard w serwisie Google

Cały proces infekcji inicjowany jest w wyszukiwarce Google, gdzie przestępcy prowadzą agresywną kampanię malvertisingową. Po wpisaniu frazy „adguard”, użytkownikowi jako pierwszy wyświetla się „Wynik sponsorowany”. Choć wpis sprawia wrażenie w pełni autentycznego, kluczowa różnica ukryta jest w adresie URL: zamiast oficjalnej domeny adguard[.]com, link prowadzi do adguardscan[.]net. Wykorzystując płatne pozycjonowanie, oszuści skutecznie umieszczają swoją fałszywą infrastrukturę powyżej oryginalnej strony producenta.

1.png

Dalsza część tego artykułu jest dostępna tylko dla zarejestrowanych użytkowników.

  • Wskaźniki kompromitacji (IoC)
  • Praktyczne informacje do blokowania zagrożeń
  • Szczegółowy kontekst operacyjny ataku
  • Pełna treść artykułów z analizami technicznymi

ODBLOKUJ PEŁNY DOSTĘP

Masz już konto? Zaloguj się


Zgłoś Incydent

Za pośrednictwem tego formularza, możesz zgłosić adres strony internetowej lub treść otrzymanej wiadomości. Przesyłając do nas zgłoszenie możesz przyczynić się do zwiększenia bezpieczeństwa w internecie. Eksperci zweryfikują Twoje zgłoszenie i pomogą w rozwiązaniu problemu.