Pesquisadores de cibersegurança identificaram uma nova versão do trojan bancário para Android TrickMo que usa The Open Network (TON) para o comando e controle (C2).
A nova variante, observada pela ThreatFabric entre janeiro e fevereiro de 2026, vem sendo usada ativamente contra usuários de bancos e carteiras de criptomoedas na França, Itália e Áustria.
“O TrickMo depende de um APK carregado em tempo de execução, o dex.module, também usado pela variante anterior, mas atualizado com novos recursos que adicionam funcionalidades voltadas à rede, incluindo reconhecimento, tunelamento SSH e proxy SOCKS5, o que permite que dispositivos infectados funcionem como pontos de pivô de rede programáveis e nós de saída de tráfego”, afirmou a empresa holandesa de segurança móvel em relatório compartilhado.
TrickMo é o nome atribuído a um malware de tomada de dispositivo (DTO) que circula em prática desde o fim de 2019.
Ele foi identificado inicialmente pela CERT-Bund e pela IBM X-Force, que destacaram sua capacidade de abusar dos serviços de acessibilidade do Android para sequestrar senhas de uso único, os OTPs.
O trojan também conta com uma ampla gama de recursos para realizar phishing de credenciais, registrar pressionamentos de tecla, gravar a tela, facilitar transmissões ao vivo da tela e interceptar mensagens SMS, concedendo ao operador controle remoto praticamente total do dispositivo.
As versões mais recentes, chamadas TrickMo C, são distribuídas por meio de sites de phishing e aplicativos dropper.
Esses últimos servem como ponte para um APK carregado dinamicamente, o dex.module, buscado em tempo de execução em uma infraestrutura controlada pelos atacantes.
Uma mudança relevante na arquitetura é o uso da blockchain descentralizada TON para comunicações furtivas de C2.
“O TrickMo traz um proxy TON nativo incorporado, que o APK hospedeiro inicia em uma porta de loopback no início do processo”, disse a ThreatFabric.
“O cliente HTTP do bot é roteado por esse proxy, de modo que toda solicitação de comando e controle é direcionada a um host .adnl e resolvida por meio da sobreposição TON.”
Os aplicativos dropper que contêm o malware se passam por versões adultas do TikTok, enquanto o malware em si finge ser o Google Play Services.
com.app16330.core20461 ou com.app15318.core1173 (Dropper)
uncle.collop416.wifekin78 ou nibong.lida531.butler836 (TrickMo)
Enquanto versões anteriores do dex.module implementavam a função de controle remoto por meio de um canal baseado em socket.io, a nova versão adota um subsistema operacional de rede que transforma o malware em uma ferramenta para estabelecer presença e controle gerenciados, em vez de um trojan bancário tradicional.
O subsistema aceita comandos como curl, dnslookup, ping, telnet e traceroute, oferecendo ao atacante uma espécie de shell remoto para reconhecimento de rede a partir da posição da vítima, inclusive em qualquer rede corporativa ou doméstica à qual o dispositivo esteja conectado, segundo a ThreatFabric.
Outro recurso importante é um proxy SOCKS5 que transforma o dispositivo comprometido em um nó de saída de rede, roteando tráfego malicioso e, ao mesmo tempo, burlando assinaturas de detecção de fraude baseadas em IP usadas por serviços bancários, de comércio eletrônico e de corretoras de criptomoedas.
Além disso, o TrickMo inclui duas funções adormecidas que incorporam o framework Pine hooking e declaram permissões extensas relacionadas a NFC.
Porém, nenhuma delas foi de fato implementada.
Isso provavelmente indica que os desenvolvedores principais pretendem ampliar os recursos do trojan no futuro.
“Em vez de depender da DNS convencional e de uma infraestrutura pública da internet, o malware se comunica por endpoints .adnl roteados por um proxy TON local incorporado, reduzindo a eficácia de tentativas tradicionais de derrubada e bloqueio de rede, ao mesmo tempo em que faz o tráfego se misturar à atividade legítima da TON”, afirmou a ThreatFabric.
“Esta variante mais recente também amplia o papel operacional dos dispositivos infectados por meio de tunelamento SSH e proxy SOCKS5 autenticado, transformando efetivamente celulares comprometidos em pontos de pivô de rede programáveis e nós de saída de tráfego cujas conexões se originam no próprio ambiente de rede da vítima.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...