Eine neue Wendung in der Entwicklung des TrickMo-Banking-Tjans zeigt, wie Angreifer ständig nach versteckten Räumen in der öffentlichen Infrastruktur suchen: die von ThreatFabric entdeckte und seit Januar beobachtete Variante, die Kommunikation auf Das Open Network (TON) und fügt eine Reihe von Befehlen hinzu, die es zu einem viel vielseitiger und schwieriger zu neutralisieren Remote-Control-Tool machen.
Süßigkeiten Mo ist kein neuer Schauspieler: es existiert seit 2019 und entwickelt sich weiterhin als modulares Stück mit zwei Phasen - ein Host APK für Beharrlichkeit und Entladung in der Zeit der Ausführung des schädlichen Moduls - das stiehlt Bank Anmeldeinformationen und Kryptomoneda Portfolios durch Phishing Overlay, Keylogging, Aufnahme und Display Übertragung, SMS-Interception und Clipboard-Änderung. Die jüngste Variante, berichtet von ThreatFabric, wurde in Kampagnen verteilt, die beliebte Apps (z.B. geschmiedete Versionen von TikTok und Streaming-Player) supplantierten und in Opfern in Ländern wie Frankreich, Italien und Österreich beobachtet wurde. Weitere technische Details zur Analyse finden Sie im Bericht ThreatFabric: https: / / www.amenatfabr.com / blogs / trickmo-unmasked-the-hidden-dex-module-and-the-variant-that-placed-it.
Die beunruhigendste Innovation ist die Verwendung von TON als Befehls- und Steuerkanal. TON bietet eine verschlüsselte Overlay- und .adnl-Adressen mit 256 Bit-Identifiern anstelle von herkömmlichen Domainnamen, die IP-Adressen und reale Ports verbergen und übliche Gegenmaßnahmen wie Einnahme durch DNS vermeiden. In der Praxis, Trick Mo enthält eine lokale TON-Proxy, die alle C2-Verkehr über dieses Netzwerk verknüpft, so dass der Umkreis sehen nur unauffällig TON-Verkehr, die durch legitime Anwendungen mit demselben Netzwerk erzeugt. Um das TON-Projekt und seine Architektur zu verstehen, können öffentliche Dokumentationen bei https: / / ton.org.
Zusätzlich zu diesem Kanal erweitert die neueste Version ihr Repertoire von Aufträgen, um diagnostische und Tunelisierungsprogramme - zum Beispiel Curl, dnsLookup, Ping, Telnet und Traceroute - und erweiterte Netzwerkfunktionen wie SSH Tuned, Port Reshipment (lokal und remote) und authentifizierte SOCKS5 Proxy-Unterstützung. Mit anderen Worten, neben dem Stehlen von Anmeldeinformationen kann ein engagiertes Gerät in einen Sprungpunkt umgewandelt werden, um interne Netzwerke zu erkunden, auf andere Ziele oder Mount Tunnels zu schwenken, die Exfiltration und dauerhaften Zugriff erleichtern.
Aus Sicht des Verteidigers stellt dies zwei klare Herausforderungen: einerseits die operative Schwierigkeit, die traditionelle C2-Infrastruktur zu identifizieren und zu demontieren; andererseits die Notwendigkeit, verschlüsselte Aktivitäten zu visualisieren, die dem legitimen Verkehr ähneln. Mitigationsstrategien für Corporate Equipment sollten verhaltensbasierte Erkennung (z.B. Prozesse, die lokale Proxies öffnen oder ungewöhnliche Steckdosen im localhost erstellen), Endpoint-Telemetrie, die Android-Prozesse mit sensiblen Berechtigungen und Egress-Kontrollen identifiziert, die persistente Ströme in Overlay-Netzwerke identifizieren können. Auf technischer Ebene ist es angebracht, die Entstehung lokaler Proxyprozesse auf Android-Geräten zu überwachen und Berechtigungen wie Zugänglichkeit Zugriff, Benachrichtigungen und SMS zu prüfen, die TrickMo in der Regel verlangt.
Für mobile Nutzer bleibt der lebensfähige Schutz vorbeugend: Apps nur von Google Play, bevorzugen seriöse Editor-Anwendungen, halten Play Protect an und begrenzen die Anzahl der installierten Apps. Google-Dokumente spielen Schutz und gute Praktiken in seinem Hilfezentrum: https: / / support.google.com / googleplay / ansher / 2812853. Es wird auch empfohlen, die Installation von unbekannten Ursprüngen nicht zu ermöglichen, verdächtige Berechtigungen (insbesondere Zugänglichkeit, SMS und Fähigkeit, andere Apps zu zeichnen) zu überprüfen und starke Authentifizierungsfaktoren für Finanzdienstleistungen zu verwenden; ideal ist Passwörter mit unabhängigen Authentikern oder physischen Schlüsseln zu kombinieren, wenn möglich.
Wenn ein Gerät Symptome zeigt (ungewöhnlich hohen Batterieverbrauch, Anwendungen, die zusätzliche Genehmigungen verlangen, wenn installiert, nicht empfangene Banknachrichten oder unberechtigte Transaktionen), ist es angebracht, die Ausrüstung zu isolieren, Passwörter von einem sauberen Gerät zu ändern und sofort die Bank zu benachrichtigen. Für Unternehmen beinhaltet eine entsprechende Antwort die Sperrung der betroffenen Konten, zwingt MFA, die forensische Analyse des Terminals und die Überprüfung der Egress- und Proxy-Datensätze, die Tunnel oder Port-Reshipments zeigen können.
Schließlich zeigen die Einbindung von Frameworks wie Pine (wenn auch in dieser Variante nicht aktiv) und ungenutzte NFC-Kapazitätserklärungen, dass Betreiber den Code "bereit" halten, um zukünftige Funktionen zu aktivieren. Dies unterstreicht, dass sich mobile Bedrohungen sowohl in Offensive-Kapazitäten als auch in Infrastrukturvermeidungstechniken entwickeln. Die Verteidigung muss die mobile Telemetrie, die Bewusstseins- und Anwendungskontrollpolitik anpassen, um die Angriffsfläche zu reduzieren und abnormes Verhalten zu erkennen, bevor sie Finanzbetrug werden.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...