O variantă actualizată a troianului bancar TrickMo pentru Android vizează utilizatori din Franța, Italia, și Austria și a migrat comunicarea de comandă și control în rețeaua descentralizată The Open Network (TON).
Echipa de threat intelligence de la ThreatFabric, o companie ce oferă protecție împotriva fraudelor pe mobil, a identificat noua versiune a malware-ului în ianuarie și a observat o evoluție în ceea ce privește setul de comenzi și arhitectura infrastructurii.
TrickMo poate intercepta parole de unică folosință trimise prin SMS sau generate de aplicații de autentificare, înregistra ecranul și captura apăsările de taste, și permite controlul de la distanță al dispozitivului infectat pentru inițierea de tranzacții și modificarea setărilor de cont.
Cea mai semnificativă schimbare în noua versiune constă în migrarea traficului de comandă și control pe The Open Network (TON) – o rețea descentralizată peer-to-peer, de tip blockchain, construită inițial pentru Telegram, cu propriul strat de rutare și adresare (ADNL).
Gazdele din interiorul TON, o rețea legitimă, sunt adresate printr-un identificator derivat din cheia publică, ce joacă rol de domeniu având ca terminație un pseudo-TLD .ADNL Abstract Datagram Network Layer.
Asta face ca încercările tradiționale de demontare a domeniilor malițioase să fie ineficiente deoarece endpoint-urile operatorului nu se bazează pe ierarhia DNS publică și există ca identități TON .adnl rezolvate în interiorul rețelei.
Mai mult, detectarea șabloanelor de trafic la nivelul rețelei nu este posibilă pentru că traficul TON este criptat și la identic cu fluxul oricărei alte aplicații activate TON.
Raportul ThreatFabric identifică în noua versiune a malware-ului TrickMo un număr de cinci comenzi de rețea la nivel de operator – curl, dnslookup, ping, telnet și traceroute – care rulează din poziția dispozitivului victimei și returnează rezultatele upstream.
Împreună, acestea oferă operatorului un echivalent de shell la distanță pentru recunoașterea rețelei din postura dispozitivului victimă.
Cercetătorii au descoperit și trei comenzi pentru tunelizare la nivel de socket: un tunel SSH de tip forward local, un tunel SSH reverse-forward și un proxy SOCKS5 pe dispozitiv cu autentificare prin utilizator și parolă.
Combinația permite rularea proxy-ului SOCKS5 pe un port local și expunerea acestuia prin tunelul reverse-forward, rezultând un nod de ieșire de rețea programabil, autentificat și criptat SSH, al cărui trafic de ieșire apare ca originar din IP-ul victimei.
Acest lucru îngreunează posibilitățile de detecție a fraudei bazate pe IP utilizate de serviciile bancare, de e-commerce și de schimb de criptomonede.
Varianta actuală mai conține și capabilități ce nu sunt utilizate deocamdată: framework-ul de hooking Pine este inclus și inițializat, dar fără instalări active de hook-uri; iar aplicația declară permisiuni NFC complete însă fără a implementa cod NFC accesibil.
Aceste componente inerte sugerează că operatorii pregătesc platforma pentru funcționalități livrate la runtime prin același canal DEX dinamic, fără a le integra direct în codul curent.
Conform raportului, campania observată vizează utilizatori din Franța, Italia și Austria. Malware-ul este distribuit prin dropper-e deghizate în aplicații TikTok livrate prin reclame pe Facebook sau TikTok.
