La famille de la banque Trojans Trick Mo a fait un saut architectural qui mérite attention : dans les échantillons analysés entre janvier et février 2026, les opérateurs ont intégré le réseau décentralisé de Réseau ouvert (TON) en tant que canal de commande et de contrôle, et ont transformé les téléphones engagés en pivots réseau programmables. Ce changement n'est pas seulement une curiosité technique, mais une évolution stratégique avec des implications directes pour les utilisateurs, les banques et les défenseurs des infrastructures essentielles.
Depuis son apparition en 2019, Trick Mo a été connu pour abuser des services d'accessibilité Android pour intercepter les codes à usage unique, voler les références et exercer la télécommande de l'appareil. La nouvelle version documentée par ThirFabric maintient ces capacités, mais intègre un module dynamique chargé dans le temps de fonctionnement (dex.module) qui étend les fonctions aux tâches de reconnaissance réseau authentifiées, tunnels SSH et proxy SOCKS5. Dans la pratique, un téléphone infecté peut désormais acheminer le trafic malveillant du réseau local de la victime, effectuer des enquêtes internes et camoufler des transactions frauduleuses avec l'adresse IP de l'utilisateur touché.
La technique choisie pour communiquer avec l'infrastructure de commande - en utilisant les paramètres .adnl résolu par le chevauchement de TON - ajoute des couches de résilience aux mesures traditionnelles de blocage et de retrait. En commençant un proxy TON natif sur localhost, les logiciels malveillants encapsulent vos requêtes HTTP à travers le réseau décentralisé, réduisant la visibilité des indicateurs d'engagement sur le réseau public et compliquant l'identification des serveurs distants malveillants par des listes de verrouillage conventionnelles.
Au-delà du mécanisme C2, l'inclusion de commandes telles que curl, dnslookup, ping, telnet ou traceroute fait de l'appareil infecté une station de reconnaissance du point de vue du réseau de la victime. Cela modifie l'image classique du "trojan bancaire" axé uniquement sur l'interception des OTP: nous sommes face à un acteur qui cherche à maintenir un Point d ' appui géré dans les réseaux cibles pour les mouvements latéraux, la fraude transactionnelle et l'anonymat d'accès par procuration.
L'impact pratique pour les utilisateurs et les organisations est clair. Pour les individus, la menace n'implique pas seulement le vol de titres de compétence, mais aussi la possibilité que leur connexion nationale soit utilisée comme sortie pour des activités criminelles. Pour les entreprises, un employé ayant un mobile engagé dans le réseau Wi-Fi d'entreprise peut faciliter les mouvements latéraux ou l'accès aux services internes à partir d'une IP légitime de l'organisation, en dessinant des contrôles basés uniquement sur les adresses domiciliaires.
La détection et l'atténuation de cette menace exigent l'adaptation des contrôles à leur nature hybride entre les logiciels malveillants mobiles et les outils de réseau. Sur les appareils, il est essentiel d'éviter d'installer des applications en dehors des magasins officiels et de se méfier des applications qui demandent des permis d'accessibilité, des services d'avant-plan ou le levage vers « Google Play Services ». La pratique du sideloading et de l'utilisation de gouttelettes qui passent par des versions "adultes" d'applications connues est le vecteur utilisé dans ces cas; l'hygiène numérique de base reste la première barrière.
Pour les opérateurs de sécurité et les administrateurs, les stratégies devraient combiner la visibilité du terminal mobile avec la surveillance des couches réseau et les contrôles d'accès. Examiner les inventaires d'applications, mettre en œuvre des politiques MDM / EMM qui restreignent les installations tierces, et permettre aux API de détecter des comportements anormaux sur les appareils sont des mesures efficaces. Dans le réseau, il est important de rechercher des indicateurs tels que les processus locaux qui ouvrent les ports de boucle, la présence de services SOCKS5 ou des modèles de connexion inhabituels qui ne correspondent pas aux applications légitimes.
La nature décentralisée de TON complique le bloc par les listes de domaines, de sorte que les défenses ne peuvent pas dépendre exclusivement du filtrage DNS / IP. Il est plus efficace de combiner les contrôles d'accès conditionnel, la segmentation du réseau et l'authentification résistante au phishing (p. ex. clés FIDO pour un accès sensible) pour réduire l'impact des connexions à partir de dispositifs compromis. Les organisations devraient également examiner les politiques du BYOD et envisager la séparation des réseaux pour les dispositifs non gérés.
Un autre aspect à considérer est l'évolution potentielle des logiciels malveillants: les chercheurs ont signalé la présence de fonctionnalités inactives liées au hooking et aux permissions NFC, suggérant que les développeurs pourraient étendre les fonctions pour intercepter les paiements sans contact ou pirater les API critiques dans les futures variantes. Cela renforce la nécessité de maintenir à jour des programmes d'intervention en cas d'incident et des exercices de chasse à la menace qui incluent la mobilité comme zone à risque.
En termes de réponse juridique et communautaire, l'utilisation d'infrastructures décentralisées pose des défis pour les opérations d'interruption traditionnelles. La collaboration entre les fabricants d'appareils, les fournisseurs de réseaux et les entités de recherche est essentielle pour mettre au point des signaux et des mécanismes de détection partagés afin d'identifier les tendances anormales sans interférer avec les services légitimes du réseau décentralisé. Les ressources de référence et d'analyse sur les techniques de TON et d'évitement sont disponibles sur les pages Web officielles et dans les rapports des sociétés d'analyse des menaces.
Si vous soupçonnez que votre appareil a été compromis, déconnectez-le des réseaux Wi-Fi d'entreprise, vérifiez les autorisations de l'application, rétablissez le téléphone après la sauvegarde des données nécessaires et, dans le contexte commercial, avisez l'équipe de sécurité pour l'analyse médico-légale. Pour prévenir les incidents futurs, donner la priorité à la formation des utilisateurs en ingénierie sociale, aux mises à jour mobiles automatiques et à la mise en œuvre de politiques techniques qui limitent la portée des applications installables.
La convergence entre les logiciels malveillants mobiles et les réseaux décentralisés marque une nouvelle étape dans la menace numérique : plus de camouflage, plus de résilience et des capacités d'abus de ressources tierces. Connaître ces tactiques et adapter les défenses - de l'utilisateur individuel à l'infrastructure commerciale - est la meilleure réponse disponible aujourd'hui.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...