Нова версія Android-трояна TrickMo отримала підтримку блокчейну TON для прихованого зв’язку з операторами атаки. Шкідливе ПЗ маскується під TikTok і стримінгові застосунки та атакує користувачів банків і криптогаманців у Європі.
Android-банкір TrickMo отримав нове велике оновлення та почав використовувати блокчейн TON для прихованого зв’язку зі своєю інфраструктурою. Дослідники кажуть, що новий варіант malware уже активно атакує користувачів у кількох країнах Європи та став значно складнішим для виявлення й блокування.
TrickMo вперше помітили ще у 2019 році, і відтоді троян постійно розвивається. Лише у 2024 році аналітики Zimperium виявили понад 40 варіантів шкідливого ПЗ, які працювали через 22 окремі C2-інфраструктури та поширювалися за допомогою 16 різних дропперів.
Найновішу версію, яку ThreatFabric відстежує під назвою Trickmo.C, дослідники спостерігають із січня цього року. За їхніми словами, malware маскується під TikTok або стримінгові застосунки та націлений на користувачів у Франції, Італії й Австрії. Основна ціль атак — банківські та криптовалютні гаманці.
Головною зміною став перехід на інфраструктуру TON. Для командно-контрольного зв’язку троян використовує .ADNL-адреси та локальний TON-проксі, який запускається прямо на зараженому смартфоні.
TON працює як децентралізована peer-to-peer мережа, пов’язана з екосистемою Telegram. Замість звичайних доменів вона використовує 256-бітні ідентифікатори, які приховують реальні IP-адреси серверів і порти зв’язку. Через це знайти або відключити інфраструктуру операторів стає значно важче.
У ThreatFabric пояснюють, що класичні takedown-операції тут практично не працюють.
«Традиційні методи видалення доменів значною мірою неефективні, оскільки кінцеві точки оператора не залежать від ієрархії публічного DNS, а натомість існують як ідентифікатори TON .adnl, що вирішуються всередині самої мережі оверлею».
Дослідники також зазначають, що мережевий трафік виглядає як звичайний TON-трафік і практично не відрізняється від легітимної активності інших застосунків із підтримкою TON.
Архітектура TrickMo залишається двоетапною. Перший APK-файл працює як завантажувач і забезпечує persistence, а другий модуль підвантажується вже під час роботи та відповідає за атакувальний функціонал.
Malware викрадає банківські дані через фішингові overlay-вікна, записує натискання клавіш, перехоплює SMS, приховує OTP-сповіщення, змінює clipboard, записує екран, робить скріншоти та навіть підтримує live-трансляцію екрана зараженого пристрою.
У новому варіанті також з’явилися додаткові мережеві можливості:
curl
dnsLookup
ping
telnet
traceroute
SSH-тунелювання
локальне та віддалене переадресування портів
SOCKS5-проксі з автентифікацією
Окремо аналітики виявили framework Pine runtime hooking, який раніше використовувався для перехоплення мережевих операцій і Firebase-функцій. Щоправда, наразі він неактивний, оскільки hooks ще не встановлюються.
Також TrickMo запитує розширені NFC-дозволи та збирає інформацію про NFC-можливості пристрою, хоча активного NFC-функціоналу в поточній версії поки не знайшли.
Фахівці радять користувачам Android встановлювати програми лише через Google Play, уникати зайвих APK-файлів із сторонніх джерел, використовувати застосунки тільки від перевірених розробників та не вимикати Play Protect.
