🌟 Atualização imperdível para quem gosta de estar bem informado!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética sinalizaram uma nova versão do trojan bancário TrickMo Android que usa The Open Network (TON) para comando e controle (C2).
A nova variante, observada pelo ThreatFabric entre janeiro e fevereiro de 2026, foi observada visando ativamente usuários bancários e de carteiras de criptomoedas na França, Itália e Áustria.
"O TrickMo depende de um APK carregado em tempo de execução (dex.module), usado também pela variante anterior, mas atualizado com novos recursos que adicionam novas funcionalidades orientadas à rede, incluindo reconhecimento, tunelamento SSH e recursos de proxy SOCKS5 que permitem que dispositivos infectados funcionem como pivôs de rede programáveis e nós de saída de tráfego", disse a empresa holandesa de segurança móvel em um relatório compartilhado com o The Hacker News.
TrickMo é o nome atribuído a um malware de controle de dispositivo (DTO) que está ativo desde o final de 2019. Ele foi sinalizado pela primeira vez pelo CERT-Bund e IBM X-Force, descrevendo sua capacidade de abusar dos serviços de acessibilidade do Android para sequestrar senhas de uso único (OTPs).
Ele também é equipado com uma ampla gama de recursos para buscar credenciais, registrar pressionamentos de teclas, gravar tela, facilitar a transmissão de tela ao vivo, interceptar mensagens SMS, essencialmente concedendo ao operador controle remoto completo do dispositivo.
As versões mais recentes, denominadas TrickMo C, são distribuídas por meio de sites de faseamento e aplicativos dropper, os últimos servindo como um canal para um APK carregado dinamicamente ("dex.module") que é recuperado em tempo de execução da infraestrutura controlada pelo invasor. Uma mudança notável na arquitetura envolve o uso do blockchain descentralizado TON para comunicações C2 furtivas.
“O TrickMo carrega um proxy TON nativo incorporado que o APK do host inicia em uma porta de loopback no início do processo”, disse ThreatFabric. "O cliente HTTP do bot é conectado por meio desse proxy, portanto, cada solicitação de comando e controle de saída é endereçada a um nome de host .adnl e resolvida por meio da sobreposição TON."
Os aplicativos dropper que contêm o malware se disfarçam como versões do TikTok para adultos por meio do Facebook, enquanto o malware real se faz passar pelo Google Play Services -
com.app16330.core20461 ou com.app15318.core1173 (conta-gotas)
tio.collop416.wifekin78 ou nibong.lida531.butler836 (TrickMo)
Embora as iterações anteriores de “dex.module” implementassem a funcionalidade de controle remoto orientada para acessibilidade por meio de um canal baseado em socket.io, a nova versão utiliza um subsistema operacional de rede que transforma o malware em uma ferramenta de apoio gerenciado do que um trojan bancário tradicional.
O subsistema suporta comandos como curl, dnslookup, ping, telnet e traceroute, dando ao invasor um “equivalente de shell remoto para reconhecimento de rede a partir da posição de rede da vítima, incluindo qualquer rede interna corporativa ou doméstica à qual o dispositivo esteja atualmente associado”, por ThreatFabric.
Outro recurso importante é um proxy SOCKS5 que transforma o dispositivo comprometido em um nó de saída de rede que roteia o tráfego malicioso, ao mesmo tempo que derrota assinaturas de detecção de fraude baseadas em IP em serviços bancários, de comércio eletrônico e de troca de criptomoedas.
Além disso, o TrickMo inclui dois recursos inativos que agrupam a estrutura de gancho do Pine e declaram extensas permissões relacionadas ao NFC. Mas nenhum deles é realmente implementado. Isto provavelmente indica que os principais desenvolvedores estão procurando expandir as capacidades do trojan no futuro.
“Em vez de depender de DNS convencional e infraestrutura pública de Internet, o malware se comunica por meio de endpoints .adnl roteados por meio de um proxy TON local incorporado, reduzindo a eficácia dos esforços tradicionais de remoção e bloqueio de rede, ao mesmo tempo que faz com que o tráfego se misture com a atividade legítima da TON”, disse ThreatFabric.
“Esta última variante também expande a função operacional dos dispositivos infectados por meio de tunelamento SSH e proxy SOCKS5 autenticado, transformando efetivamente telefones comprometidos em pivôs de rede programáveis e nós de saída de tráfego cujas conexões se originam do próprio ambiente de rede da vítima.”
A nova variante, observada pelo ThreatFabric entre janeiro e fevereiro de 2026, foi observada visando ativamente usuários bancários e de carteiras de criptomoedas na França, Itália e Áustria.
"O TrickMo depende de um APK carregado em tempo de execução (dex.module), usado também pela variante anterior, mas atualizado com novos recursos que adicionam novas funcionalidades orientadas à rede, incluindo reconhecimento, tunelamento SSH e recursos de proxy SOCKS5 que permitem que dispositivos infectados funcionem como pivôs de rede programáveis e nós de saída de tráfego", disse a empresa holandesa de segurança móvel em um relatório compartilhado com o The Hacker News.
TrickMo é o nome atribuído a um malware de controle de dispositivo (DTO) que está ativo desde o final de 2019. Ele foi sinalizado pela primeira vez pelo CERT-Bund e IBM X-Force, descrevendo sua capacidade de abusar dos serviços de acessibilidade do Android para sequestrar senhas de uso único (OTPs).
Ele também é equipado com uma ampla gama de recursos para buscar credenciais, registrar pressionamentos de teclas, gravar tela, facilitar a transmissão de tela ao vivo, interceptar mensagens SMS, essencialmente concedendo ao operador controle remoto completo do dispositivo.
As versões mais recentes, denominadas TrickMo C, são distribuídas por meio de sites de faseamento e aplicativos dropper, os últimos servindo como um canal para um APK carregado dinamicamente ("dex.module") que é recuperado em tempo de execução da infraestrutura controlada pelo invasor. Uma mudança notável na arquitetura envolve o uso do blockchain descentralizado TON para comunicações C2 furtivas.
“O TrickMo carrega um proxy TON nativo incorporado que o APK do host inicia em uma porta de loopback no início do processo”, disse ThreatFabric. "O cliente HTTP do bot é conectado por meio desse proxy, portanto, cada solicitação de comando e controle de saída é endereçada a um nome de host .adnl e resolvida por meio da sobreposição TON."
Os aplicativos dropper que contêm o malware se disfarçam como versões do TikTok para adultos por meio do Facebook, enquanto o malware real se faz passar pelo Google Play Services -
com.app16330.core20461 ou com.app15318.core1173 (conta-gotas)
tio.collop416.wifekin78 ou nibong.lida531.butler836 (TrickMo)
Embora as iterações anteriores de “dex.module” implementassem a funcionalidade de controle remoto orientada para acessibilidade por meio de um canal baseado em socket.io, a nova versão utiliza um subsistema operacional de rede que transforma o malware em uma ferramenta de apoio gerenciado do que um trojan bancário tradicional.
O subsistema suporta comandos como curl, dnslookup, ping, telnet e traceroute, dando ao invasor um “equivalente de shell remoto para reconhecimento de rede a partir da posição de rede da vítima, incluindo qualquer rede interna corporativa ou doméstica à qual o dispositivo esteja atualmente associado”, por ThreatFabric.
Outro recurso importante é um proxy SOCKS5 que transforma o dispositivo comprometido em um nó de saída de rede que roteia o tráfego malicioso, ao mesmo tempo que derrota assinaturas de detecção de fraude baseadas em IP em serviços bancários, de comércio eletrônico e de troca de criptomoedas.
Além disso, o TrickMo inclui dois recursos inativos que agrupam a estrutura de gancho do Pine e declaram extensas permissões relacionadas ao NFC. Mas nenhum deles é realmente implementado. Isto provavelmente indica que os principais desenvolvedores estão procurando expandir as capacidades do trojan no futuro.
“Em vez de depender de DNS convencional e infraestrutura pública de Internet, o malware se comunica por meio de endpoints .adnl roteados por meio de um proxy TON local incorporado, reduzindo a eficácia dos esforços tradicionais de remoção e bloqueio de rede, ao mesmo tempo que faz com que o tráfego se misture com a atividade legítima da TON”, disse ThreatFabric.
“Esta última variante também expande a função operacional dos dispositivos infectados por meio de tunelamento SSH e proxy SOCKS5 autenticado, transformando efetivamente telefones comprometidos em pivôs de rede programáveis e nós de saída de tráfego cujas conexões se originam do próprio ambiente de rede da vítima.”
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #nova #variante #trickmo #usa #ton #c2 #e #socks5 #para #criar #pivôs #de #rede #android
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário