Die Familie der Bank Trojans Trick Mo hat einen architektonischen Sprung gemacht, der Aufmerksamkeit verdient: in den zwischen Januar und Februar 2026 analysierten Proben haben die Betreiber das dezentrale Netz von Das Open Network (TON) als Befehls- und Steuerkanal, und haben die verlobten Telefone in programmierbare Netzwerkschwenken transformiert. Diese Änderung ist nicht nur eine technische Neugier, sondern eine strategische Entwicklung mit direkten Auswirkungen auf Nutzer, Banken und Befürworter kritischer Infrastruktur.
Seit seinem Auftritt im Jahr 2019, Trick Mo ist bekannt geworden, Android-Zugangsdienste zu missbrauchen, um Single-Use-Codes abzufangen, Anmeldeinformationen zu stehlen und die Fernbedienung des Geräts auszuüben. Die neue Version dokumentiert von ThirFabric pflegt diese Fähigkeiten, enthält aber ein dynamisches Modul, das in Laufzeit (dex.module) geladen ist, das Funktionen auf authentifizierte Netzwerkerkennungsaufgaben, SSH-Tunnel und SOCKS5-Proxy erweitert. In der Praxis kann ein infiziertes Telefon nun bösartigen Verkehr aus dem lokalen Netzwerk des Opfers führen, interne Umfragen durchführen und betrügerische Transaktionen mit der IP-Adresse des betroffenen Benutzers tarnen.
Die gewählte Technik, um mit der Kommando-Infrastruktur zu kommunizieren - mit Endpoints .adnl löst sich durch die Überlappung von TON - fügt Schichten der Widerstandsfähigkeit zu traditionellen Blockierungs- und Takedown-Maßnahmen hinzu. Durch das Starten einer nativen TON-Proxy auf localhost, Malware kapselt Ihre HTTP-Anfragen durch das dezentrale Netzwerk, reduziert die Sichtbarkeit der Engagement-Indikatoren auf dem öffentlichen Netzwerk und kompliziert die Identifizierung von bösartigen Remote-Servern durch konventionelle Sperrlisten.
Über den C2-Mechanismus hinaus macht die Aufnahme von Befehlen wie Curl, dnslookup, Ping, Telnet oder Traceroute das infizierte Gerät zu einer Erkennungsstation aus der Netzwerkperspektive des Opfers. Dies verändert das klassische Bild des "Banking Trojaners" konzentriert sich nur auf das Abfangen von OTPs: wir stehen vor einem Schauspieler, der versucht, eine Verwalteter Stützpunkt in Zielnetzwerken für laterale Bewegung, Transaktionsbetrug und Zugriffsanonymität durch Proxy.
Die praktische Wirkung für Nutzer und Organisationen ist klar. Für Einzelpersonen ist die Bedrohung nicht nur der Diebstahl von Anmeldeinformationen, sondern die Möglichkeit, dass ihre häusliche Verbindung als Austritt für kriminelle Aktivitäten verwendet wird. Für Unternehmen kann ein Mitarbeiter mit einem engagierten Mobilgerät im Unternehmens-WLAN-Netzwerk Seitenbewegungen oder Zugang zu internen Dienstleistungen von einem legitimen IP der Organisation erleichtern, wobei nur auf Home-Adressen basierende Bedienelemente gezogen werden.
Die Erkennung und Abmilderung dieser Bedrohung erfordert die Anpassung der Kontrollen an ihre Hybridität zwischen mobiler Malware und Netzwerk-Tool. Auf Geräten ist es wichtig, Apps außerhalb offizieller Stores zu installieren und Anwendungen, die Zugänglichkeitsgenehmigungen, Foreground-Dienste oder das Heben auf "Google Play Services" anfordern, zu misstrauen. Die Praxis der Sideloading und die Verwendung von Tröpfchen, die "adult"-Versionen bekannter Anwendungen durchlaufen, ist der in diesen Fällen verwendete Vektor; die grundlegende digitale Hygiene bleibt die erste Barriere.
Für Sicherheitsbetreiber und Administratoren sollten Strategien die Sichtbarkeit im mobilen Endpunkt mit der Netzwerkschichtüberwachung und den Zugriffskontrollen kombinieren. Prüfen Sie Anwendungsvorräte, implementieren MDM / EMM-Richtlinien, die Drittanbieter-Einrichtungen einschränken, und APIs ermöglichen, anormales Verhalten auf Geräten zu erkennen, sind effektive Maßnahmen. Im Netzwerk ist es wichtig, nach Indikatoren wie lokalen Prozessen zu suchen, die Loopback-Ports öffnen, die Präsenz von SOCKS5-Diensten oder ungewöhnliche Verbindungsmuster, die nicht zu legitimen Anwendungen passen.
Die dezentrale Natur von TON kompliziert den Block nach Domain-Listen, so dass die Verteidigungen nicht ausschließlich von DNS / IP-Filterung abhängen können. Es ist effektiver, bedingte Zugriffskontrollen, Netzwerksegmentierung und phishing-resistente Authentifizierung (z.B. FIDO-Tasten für sensiblen Zugriff) zu kombinieren, um die Auswirkungen von Verbindungen von kompromittierten Geräten zu reduzieren. Organisationen sollten auch BYOD-Politiken überprüfen und die Trennung von Netzwerken für nicht verwaltete Geräte berücksichtigen.
Ein weiterer Aspekt ist die potenzielle Evolution von Malware: Forscher haben auf das Vorhandensein von inaktiven Funktionen im Zusammenhang mit Haken und NFC-Berechtigungen hingewiesen, was darauf hindeutet, dass Entwickler Funktionen erweitern könnten, um kontaktlose Zahlungen abzufangen oder kritische APIs in zukünftigen Varianten zu hacken. Dies verstärkt die Notwendigkeit, aktuelle Notfall-Reaktionsprogramme aufrechtzuerhalten und Jagdübungen zu bedrohen, die mobile als Risikogebiet umfassen.
In Bezug auf die rechtliche und gemeinschaftliche Reaktion stellt die Nutzung dezentraler Infrastruktur Herausforderungen für traditionelle Unterbrechungen. Die Zusammenarbeit zwischen Geräteherstellern, Netzanbietern und Forschungseinrichtungen ist unerlässlich, um gemeinsame Detektionssignale und Mechanismen zu entwickeln, um anormale Muster zu identifizieren, ohne mit legitimen Dienstleistungen des dezentralen Netzes zu stören. Referenz- und Analyseressourcen für TON und Vermeidungstechniken sind auf den offiziellen Webseiten und in Berichten von Bedrohungsanalyseunternehmen erhältlich.
Wenn Sie vermuten, dass Ihr Gerät kompromittiert wurde, trennen Sie es von Firmen-WLAN-Netzwerken, überprüfen Sie die Bewerbungsberechtigungen, stellen Sie das Telefon nach der Sicherung der notwendigen Daten wieder her und informieren Sie im Geschäftskontext das Sicherheitsteam für die forensische Analyse. Um zukünftige Vorfälle zu verhindern, priorisieren Sie die Benutzerschulung auf Social Engineering, automatische mobile Updates und die Umsetzung technischer Richtlinien, die den Umfang der installierbaren Apps begrenzen.
Die Konvergenz zwischen mobiler Malware und dezentralen Netzwerken markiert eine neue Etappe in der digitalen Bedrohung: mehr Tarnung, mehr Widerstandsfähigkeit und Drittmittel-Missbrauchfähigkeit. Die Kenntnis dieser Taktiken und die Anpassung der Verteidigungen - vom einzelnen Benutzer an die Geschäftsinfrastruktur - ist die beste Antwort heute.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...