当前位置：首页 > news >正文

TrickMo 安卓银行木马新变种利用虚假锁屏窃取密码

news 2025/11/10 12:07:16

1728958098_670dce929ff3a16e5ba3d.png!small

近期，研究人员在野外发现了 TrickMo Android 银行木马的 40 个新变种，它们与 16 个下载器和 22 个不同的命令和控制（C2）基础设施相关联，具有旨在窃取 Android 密码的新功能。

Zimperium 和 Cleafy 均报道了此消息。

TrickMo 于 2020 年首次被 IBM X-Force 记录在案，但人们认为它至少从 2019 年 9 月开始就被用于攻击安卓用户。

新版 TrickMo 利用虚假锁屏窃取安卓密码

新版 TrickMo 的主要功能包括一次性密码（OTP）拦截、屏幕录制、数据外渗、远程控制等。

该恶意软件试图滥用强大的辅助功能服务权限，为自己授予额外权限，并根据需要自动点击提示。

该银行木马能够向用户提供各种银行和金融机构的钓鱼登录屏幕覆盖，以窃取他们的账户凭据，使攻击者能够执行未经授权的交易。

1728958114_670dcea2a4f04b004ce62.png!small

攻击中使用的银行业务覆盖，来源：Zimperium

Zimperium 分析师在剖析这些新变种时还报告了一种新的欺骗性解锁屏幕，它模仿了真正的安卓解锁提示，旨在窃取用户的解锁模式或 PIN 码。

Zimperium解释称：欺骗性用户界面是一个托管在外部网站上的HTML页面，以全屏模式显示在设备上，使其看起来像一个合法的屏幕。

当用户输入解锁模式或 PIN 码时，页面会将捕获的 PIN 码或模式详情以及唯一的设备标识符（Android ID）传输到 PHP 脚本。

Fake Android lock screen shown by TrickMo

TrickMo 展示的伪造安卓锁屏，来源：Zimperium

通过窃取 PIN 码，攻击者可以在设备不受监控时（可能是在深夜）解锁设备，从而在设备上实施欺诈。

暴露的受害者

由于 C2 基础设施的安全防护不当，Zimperium 还能够确定至少有 13000 名受害者受到了该恶意软件的影响，其中大部分位于加拿大，还有相当数量的受害者位于阿拉伯联合酋长国、土耳其和德国。

Victims heatmap

TrickMo 受害者热图，来源：Zimperium

据 Zimperium 称，这一数字与 “多个 C2 服务器 ”相对应，因此 TrickMo 受害者的总数可能更高。另外，分析发现，每当恶意软件成功渗出凭证时，IP列表文件就会定期更新。在这些文件中，研究人员发现了数以百万计的记录，这表明被入侵的设备数量庞大，威胁行为者访问了大量敏感数据。

由于 C2 基础设施配置不当，可能会将受害者数据暴露给更广泛的网络犯罪社区，Cleafy 此前一直未向公众公布入侵指标。Zimperium 现在选择在 GitHub 存储库中发布所有信息。

然而，TrickMo 的目标范围似乎足够广泛，涵盖了银行以外的应用程序类型（和账户），包括 VPN、流媒体平台、电子商务平台、交易、社交媒体、招聘和企业平台。

由于 C2 基础设施配置不当，可能会将受害者数据暴露给更广泛的网络犯罪社区，Cleafy 此前一直未向公众公布入侵指标，但 Zimperium 现在选择在 GitHub 存储库中发布所有信息。

据悉，TrickMo 目前是通过网络钓鱼传播的，因此为了尽量减少感染的可能性，应避免从不认识的人通过短信或直接消息发送的 URL 下载 APK。

Google Play Protect 可以识别并阻止 TrickMo 的已知变种，因此确保它在设备上处于激活状态对于抵御恶意软件至关重要。

参考来源：TrickMo malware steals Android PINs using fake lock screen (bleepingcomputer.com)

TrickMo 安卓银行木马新变种利用虚假锁屏窃取密码

新版 TrickMo 利用虚假锁屏窃取安卓密码

暴露的受害者

相关文章：

TrickMo 安卓银行木马新变种利用虚假锁屏窃取密码

Java | Leetcode Java题解之第493题翻转对

uniapp scroll-view翻转90度后，无法滚动问题，并设置滚动条到最底部（手写横屏样式）

腾讯PAG 动画库Android版本的一个问题与排查记录

计算机的算术运算之浮点数

Sqlite3 操作笔记

mysqlRouter读写分离

【修订中】ffmpeg 知识点

Rust初踩坑

element-ui 的el-calendar日历组件样式修改

LinuxDebian系统安装nginx

Redis 数据类型Streams

基智科技CEO张文战：探索火山引擎数据飞轮模式下的大模型应用新机会

【AUTOSAR标准文档】AotuSar结构横向分层详解(RTE、BSW)

新 Chrome 插件可检测 AI 伪造声音；Canary Speech 推出用于临床对话的语音分析技术丨 RTE 开发者日报

1. 路由定义

我们可以用微服务创建状态机吗？

邦芒贴士：职场新人需远离的7种坏习惯

面向医院的统一支付平台产品经验分享

http作业

国防科技大学计算机基础课程笔记02信息编码

Objective-C常用命名规范总结

如何为服务器生成TLS证书

论文解读：交大港大上海AI Lab开源论文 | 宇树机器人多姿态起立控制强化学习框架（一）

2025盘古石杯决赛【手机取证】

ardupilot 开发环境eclipse 中import 缺少C++

高防服务器能够抵御哪些网络攻击呢？

OPenCV CUDA模块图像处理-----对图像执行均值漂移滤波（Mean Shift Filtering）函数meanShiftFiltering()

如何更改默认 Crontab 编辑器？

uniapp 字符包含的相关方法