🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Sua opinião é importante: leia e participe!
.jpg)
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma nova variante do malware bancário TrickMo para Android, entregue em campanhas direcionadas a usuários em toda a Europa, introduz novos comandos e usa a The Open Network (TON) para comunicações furtivas de comando e controle.
O banqueiro TrickMo foi descoberto pela primeira vez em setembro de 2019 e permaneceu em desenvolvimento ativo, recebendo atualizações constantes desde então.
Em outubro de 2024, a Zimperium analisou 40 variantes do malware entregues por meio de 16 droppers, comunicando-se com 22 infraestruturas distintas de comando e controle (C2) e visando dados confidenciais pertencentes a usuários em todo o mundo.
A variante mais recente foi descoberta pelo ThreatFabric, que a rastreia como ‘Trickmo.C’. Os pesquisadores observam esta versão desde janeiro.
Em um relatório hoje, o ThreatFabric afirma que o malware está disfarçado como TikTok ou aplicativos de streaming e tem como alvo carteiras bancárias e de criptomoedas de usuários na França, Itália e Áustria.
O principal novo recurso da variante atual é a comunicação baseada em TON com a operadora, que usa endereços .ADNL roteados por meio de um proxy TON local incorporado em execução no dispositivo infectado.
TON é uma rede ponto a ponto descentralizada originalmente desenvolvida em torno do ecossistema Telegram que permite que dispositivos se comuniquem com a web por meio de uma rede de sobreposição criptografada, em vez de servidores de Internet expostos publicamente.
A TON usa um identificador de 256 bits em vez de um domínio normal, que oculta o endereço IP e a porta de comunicação, tornando a infraestrutura real do servidor mais difícil de identificar, bloquear ou derrubar.
“As remoções de domínio tradicionais são amplamente ineficazes porque os endpoints da operadora não dependem da hierarquia DNS pública e, em vez disso, existem como identidades TON .adnl resolvidas dentro da própria rede de sobreposição”, explica ThreatFabric.
“A detecção de padrões de tráfego na borda da rede vê apenas o tráfego TON, que é criptografado e indistinguível do fluxo de saída de qualquer outro aplicativo habilitado para TON.”
Arquitetura operacional TrickMoFonte: ThreatFabric
Capacidades do TrickMo
TrickMo é um malware modular com um design de dois estágios: um APK host que serve como carregador e camada de persistência e um módulo APK baixado em tempo de execução que implementa a funcionalidade ofensiva.
O malware tem como alvo credenciais bancárias por meio de sobreposições de phishing, realiza keylogging, gravação de tela e streaming de tela ao vivo, interceptação de SMS, supressão de notificação OTP, modificação da área de transferência, filtragem de notificação e captura de tela.
ThreatFabric relata que a nova variante adiciona os seguintes comandos e recursos:
enrolar
DNSLookup
pingar
telnet
traceroute
Tunelamento SSH
encaminhamento de porta remota
encaminhamento de porta local
suporte a proxy SOCKS5 autenticado
Os pesquisadores também identificaram a estrutura de gancho de tempo de execução Pine, anteriormente usada para interceptar operações de rede e Firebase, mas atualmente está inativa porque não há ganchos instalados.
O TrickMo também declara extensas permissões de NFC e relata recursos de NFC em telemetria, mas os pesquisadores não encontraram nenhuma funcionalidade NFC ativa.
Os usuários do Android são aconselhados a baixar software apenas do Google Play, limitar o número de aplicativos instalados em seus telefones, usar aplicativos apenas de editores confiáveis e garantir que o Play Protect esteja ativo o tempo todo.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
O banqueiro TrickMo foi descoberto pela primeira vez em setembro de 2019 e permaneceu em desenvolvimento ativo, recebendo atualizações constantes desde então.
Em outubro de 2024, a Zimperium analisou 40 variantes do malware entregues por meio de 16 droppers, comunicando-se com 22 infraestruturas distintas de comando e controle (C2) e visando dados confidenciais pertencentes a usuários em todo o mundo.
A variante mais recente foi descoberta pelo ThreatFabric, que a rastreia como ‘Trickmo.C’. Os pesquisadores observam esta versão desde janeiro.
Em um relatório hoje, o ThreatFabric afirma que o malware está disfarçado como TikTok ou aplicativos de streaming e tem como alvo carteiras bancárias e de criptomoedas de usuários na França, Itália e Áustria.
O principal novo recurso da variante atual é a comunicação baseada em TON com a operadora, que usa endereços .ADNL roteados por meio de um proxy TON local incorporado em execução no dispositivo infectado.
TON é uma rede ponto a ponto descentralizada originalmente desenvolvida em torno do ecossistema Telegram que permite que dispositivos se comuniquem com a web por meio de uma rede de sobreposição criptografada, em vez de servidores de Internet expostos publicamente.
A TON usa um identificador de 256 bits em vez de um domínio normal, que oculta o endereço IP e a porta de comunicação, tornando a infraestrutura real do servidor mais difícil de identificar, bloquear ou derrubar.
“As remoções de domínio tradicionais são amplamente ineficazes porque os endpoints da operadora não dependem da hierarquia DNS pública e, em vez disso, existem como identidades TON .adnl resolvidas dentro da própria rede de sobreposição”, explica ThreatFabric.
“A detecção de padrões de tráfego na borda da rede vê apenas o tráfego TON, que é criptografado e indistinguível do fluxo de saída de qualquer outro aplicativo habilitado para TON.”
Arquitetura operacional TrickMoFonte: ThreatFabric
Capacidades do TrickMo
TrickMo é um malware modular com um design de dois estágios: um APK host que serve como carregador e camada de persistência e um módulo APK baixado em tempo de execução que implementa a funcionalidade ofensiva.
O malware tem como alvo credenciais bancárias por meio de sobreposições de phishing, realiza keylogging, gravação de tela e streaming de tela ao vivo, interceptação de SMS, supressão de notificação OTP, modificação da área de transferência, filtragem de notificação e captura de tela.
ThreatFabric relata que a nova variante adiciona os seguintes comandos e recursos:
enrolar
DNSLookup
pingar
telnet
traceroute
Tunelamento SSH
encaminhamento de porta remota
encaminhamento de porta local
suporte a proxy SOCKS5 autenticado
Os pesquisadores também identificaram a estrutura de gancho de tempo de execução Pine, anteriormente usada para interceptar operações de rede e Firebase, mas atualmente está inativa porque não há ganchos instalados.
O TrickMo também declara extensas permissões de NFC e relata recursos de NFC em telemetria, mas os pesquisadores não encontraram nenhuma funcionalidade NFC ativa.
Os usuários do Android são aconselhados a baixar software apenas do Google Play, limitar o número de aplicativos instalados em seus telefones, usar aplicativos apenas de editores confiáveis e garantir que o Play Protect esteja ativo o tempo todo.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
#samirnews #samir #news #boletimtec #banqueiro #trickmo #android #adota #blockchain #ton #para #comunicações #secretas
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário