Negli ultimi mesi, gli esperti di sicurezza hanno identificato un’evoluzione preoccupante nel malware TrickMo, un trojan bancario mirato ai dispositivi Android. Secondo Zimperium, che ha recentemente rilasciato un rapporto dettagliato, sono state rilevate 40 nuove varianti di questo malware, collegato a 16 dropper e 22 infrastrutture di comando e controllo (C2). Queste nuove versioni presentano funzionalità avanzate progettate per rubare i PIN degli utenti Android attraverso una falsa schermata di blocco.

Le Origini di TrickMo

TrickMo è stato documentato per la prima volta dal team di IBM X-Force nel 2020, anche se si ritiene che fosse in uso già dal settembre 2019. Questo trojan bancario è particolarmente pericoloso per gli utenti Android, poiché sfrutta la funzione di accessibilità del sistema operativo per concedersi autorizzazioni aggiuntive e agire senza l’intervento dell’utente. Le nuove versioni del malware includono la capacità di intercettare password monouso (OTP), registrare lo schermo e esfiltrare dati sensibili in tempo reale.

Come Funziona la Truffa della Falsa Schermata di Blocco

Tra le caratteristiche più allarmanti di TrickMo c’è la nuova schermata di blocco ingannevole che imita perfettamente la schermata di sblocco di Android. Quando l’utente inserisce il proprio PIN o la sequenza di sblocco, queste informazioni vengono trasmesse direttamente agli hacker. La falsa schermata è in realtà una pagina HTML ospitata su un server esterno, che appare a schermo intero per sembrare autentica. Una volta rubate le credenziali di sblocco, i malintenzionati possono accedere al dispositivo e utilizzarlo per attività fraudolente, spesso quando il proprietario non sta monitorando il dispositivo, ad esempio durante le ore notturne.

Impatto e Diffusione

La diffusione di TrickMo sta colpendo un numero crescente di vittime in tutto il mondo. Secondo l’analisi di Zimperium, almeno 13.000 utenti sono stati compromessi, con la maggior parte delle vittime situate in Canada, Emirati Arabi Uniti, Turchia e Germania. Tuttavia, gli esperti ritengono che il numero reale di dispositivi colpiti sia molto più alto, data la presenza di diversi server C2 attivi.

Il malware non si limita più solo ai conti bancari: ha iniziato a mirare ad altre tipologie di applicazioni, tra cui VPN, piattaforme di streaming, e-commerce, social media, e persino app aziendali.

Protezione e Prevenzione

Il malware TrickMo si diffonde principalmente attraverso attacchi di phishing, in cui gli utenti vengono ingannati a scaricare file APK dannosi da link ricevuti tramite SMS o messaggi diretti. Per minimizzare il rischio di infezione, è fondamentale evitare di scaricare applicazioni da fonti non ufficiali o di cliccare su link sospetti.

Google Play Protect, il sistema di protezione integrato nei dispositivi Android, è in grado di rilevare e bloccare molte delle varianti conosciute di TrickMo. Pertanto, è essenziale assicurarsi che Play Protect sia sempre attivo e aggiornato.

Considerazioni Finali

TrickMo rappresenta una minaccia in continua evoluzione, con nuove tecniche che mirano a rubare informazioni sensibili e ad accedere ai dispositivi degli utenti. Il furto dei PIN Android tramite una falsa schermata di blocco è solo uno dei metodi utilizzati da questo malware per ottenere il controllo dei dispositivi. La vigilanza e la consapevolezza sono fondamentali per prevenire queste infezioni. Evitare di cliccare su link sospetti e mantenere attivi gli strumenti di sicurezza del dispositivo sono i primi passi per proteggersi da TrickMo e altri malware simili.