TrickMo Android malware воведува скриена C2 комуникација преку TON

Нова варијанта на Android банкарскиот малициозен софтвер TrickMo, дистрибуирана преку кампањи насочени кон корисници низ Европа, воведува нови команди и ја користи блокчејн мрежата The Open Network (TON) за прикриена комуникација со командно-контролни сервери.

Банкарскиот тројанец TrickMo првпат беше забележан во септември 2019 година и оттогаш е во активен развој, постојано добивајќи нови ажурирања.

Во октомври 2024 година, Zimperium анализираше 40 варијанти на малициозниот софтвер, испорачани преку 16 „dropper“ апликации, кои комуницирале со 22 различни command-and-control (C2) инфраструктури и таргетирале чувствителни податоци на корисници ширум светот.

Најновата варијанта ја откри ThreatFabric, која ја следи под името „Trickmo.C“. Истражувачите ја набљудуваат оваа верзија уште од јануари.

Во денешен извештај, ThreatFabric наведува дека малициозниот софтвер се претставува како TikTok или апликации за стриминг и ги таргетира банкарските и криптовалутните паричници на корисници во Франција, Италија и Австрија.

Клучната нова функција во тековната варијанта е комуникацијата преку TON со операторот, користејќи .ADNL адреси насочени преку вграден локален TON прокси што работи на заразениот уред.

TON е децентрализирана peer-to-peer мрежа, првично развиена околу екосистемот на Telegram, која им овозможува на уредите да комуницираат преку енкриптирана overlay мрежа наместо преку јавно достапни интернет сервери.

TON користи 256-битен идентификатор наместо класичен домен, со што се прикриваат IP адресата и комуникацискиот порт, правејќи ја вистинската серверска инфраструктура многу потешка за идентификација, блокирање или гасење.

„Традиционалното укинување на домени е во голема мера неефикасно, бидејќи крајните точки на операторот не зависат од јавната DNS хиерархија, туку постојат како TON .adnl идентитети кои се разрешуваат внатре во самата overlay мрежа“, објаснува ThreatFabric.

„Детекцијата на сообраќајни обрасци на мрежниот раб гледа само TON сообраќај, кој е енкриптиран и неразличлив од излезниот сообраќај на која било друга апликација што користи TON.“

Способности на TrickMo

TrickMo е модуларен малициозен софтвер со двостепен дизајн: host APK што служи како loader и слој за одржување на присуството (persistence), и APK модул што се презема за време на извршување и ја имплементира офанзивната функционалност.

Малициозниот софтвер таргетира банкарски акредитиви преку phishing overlay екрани, врши keylogging, снимање на екранот и пренос во живо на содржината од екранот, пресретнување на SMS пораки, потиснување на OTP известувања, модификација на clipboard содржина, филтрирање на известувања и правење screenshot фотографии.

ThreatFabric известува дека новата варијанта ги додава следните команди и способности:

• curl
• dnsLookup
• ping
• telnet
• traceroute
• SSH тунелирање
• remote port forwarding
• local port forwarding
• поддршка за автентифициран SOCKS5 прокси

Истражувачите исто така ја забележале Pine runtime hooking framework, која претходно се користела за пресретнување на мрежни и Firebase операции, но моментално е неактивна бидејќи нема инсталирани hooks.

TrickMo исто така бара обемни NFC дозволи и пријавува NFC способности преку telemetry податоци, но истражувачите не пронашле активна NFC функционалност.

На Android корисниците им се препорачува да преземаат софтвер само од Google Play, да го ограничат бројот на инсталирани апликации на телефоните, да користат апликации само од доверливи издавачи и да се осигураат дека Play Protect е постојано активен.

Извори:

• Bleeping Computer – TrickMo Android banker adopts TON blockchain for covert comms Bleeping Computer