Un nouveau tournant dans l'évolution du TrickMo bancaire Trojan montre comment les attaquants cherchent constamment des espaces cachés dans les infrastructures publiques: la variante identifiée comme TrickMo.C, détectée par ThreatFabric et observée depuis janvier, intègre les communications sur Réseau ouvert (TON) et ajoute un ensemble de commandes qui le rendent beaucoup plus polyvalent et difficile à neutraliser outil de télécommande.
Trique Mo n'est pas un nouvel acteur : il existe depuis 2019 et continue à se développer comme une pièce modulaire avec deux phases - un APK hôte pour la persistance et la décharge dans le temps de l'exécution du module malveillant - qui vole les identifiants bancaires et les portefeuilles de cryptomoneda par le biais de superposition d'hameçonnage, keylogging, enregistrement et transmission d'affichage, interception SMS et modification du presse-papier. La variante récente, rapportée par ThreatFabric, a été distribuée dans des campagnes qui ont supplanté les applications populaires (par exemple, les versions falsifiées de TikTok et les lecteurs en streaming) et a été observée dans des pays comme la France, l'Italie et l'Autriche. Plus de détails techniques sur l'analyse sont disponibles dans le rapport MenaceFabric: https: / / www.amenatfabr.com / blogs / trickmo-unmasked-the-hidden-dex-module-and-the-variant- that-placed-it.
L'innovation la plus inquiétante est l'utilisation de TON comme canal de commande et de contrôle. TON propose des adresses cryptées overlay et .adnl avec 256 identifiants bit au lieu de noms de domaine traditionnels, qui cache les adresses IP et les ports réels et évite les contre-mesures habituelles telles que les retraits par DNS. Dans la pratique, Trick Mo intègre un proxy TON local qui relie tout le trafic C2 à travers ce réseau, rendant le périmètre voir seulement indistinguable trafic TON généré par des applications légitimes utilisant le même réseau. Pour comprendre le projet TON et son architecture, la documentation publique peut être consultée à https: / / ton.org.
En plus de ce canal, la dernière version élargit son répertoire d'ordres pour inclure des utilitaires de diagnostic et d'écoute - par exemple curl, dnsLookup, ping, telnet et traceroute - et des fonctions réseau avancées telles que SSH accordé, réexpédition de port (local et distant) et prise en charge par proxy SOCKS5. En d'autres termes, en plus de voler des identifiants, un appareil commis peut être transformé en un point de saut pour explorer les réseaux internes, pivoter vers d'autres cibles ou monter des tunnels qui facilitent l'exfiltration et l'accès persistant.
Du point de vue du défenseur, cela pose deux défis évidents : d'une part, la difficulté opérationnelle à identifier et à démanteler l'infrastructure traditionnelle C2 ; d'autre part, la nécessité de visualiser les activités cryptées qui ressemblent au trafic légitime. Les stratégies d'atténuation de l'équipement de l'entreprise devraient inclure la détection basée sur le comportement (p. ex. des processus qui ouvrent des proxys locaux ou créent des sockets inhabituels dans localhost), la télémétrie des paramètres qui identifie les processus Android avec des permissions sensibles et des contrôles d'évacuation qui peuvent identifier les flux persistants vers les réseaux de superposition. Au niveau technique, il est approprié de surveiller l'émergence de processus proxy locaux sur les appareils Android et de vérifier les autorisations telles que l'accès à l'accessibilité, notifications et SMS que TrickMo demande habituellement.
Pour les utilisateurs mobiles, une protection viable reste préventive: télécharger les applications seulement depuis Google Jouer, préfèrent les applications d'éditeur de bonne réputation, garder Play Protect sur et limiter le nombre d'applications installées. Google documents Play Protect et de bonnes pratiques à son centre d'aide: https: / / support.google.com / googleplay / ansher / 2812853. Il est également recommandé de ne pas permettre l'installation à partir d'origines inconnues, d'examiner les autorisations suspectes (en particulier l'accessibilité, les SMS et la capacité de tirer parti d'autres applications) et d'utiliser des facteurs d'authentification solides pour les services financiers; idéal est de combiner des mots de passe avec des authentificateurs indépendants ou des clés physiques dans la mesure du possible.
Si un appareil présente des symptômes (consommation de batterie exceptionnellement élevée, demandes de permis supplémentaires lorsqu'il est installé, messages bancaires non reçus ou transactions non autorisées), il convient d'isoler l'équipement, de modifier les mots de passe d'un appareil propre et d'en aviser immédiatement la banque. Pour les entreprises, une réponse appropriée consiste à bloquer les comptes affectés, à forcer le MFA, à effectuer une analyse médico-légale du terminal et à examiner les dossiers d'évacuation et de réexpédition des tunnels ou des ports.
Enfin, l'incorporation de cadres tels que Pine (bien qu'inactifs pour le moment dans cette variante) et les déclarations de capacité NFC inutilisées montrent que les opérateurs gardent le code "prêt à" activer les fonctions futures. Cela souligne que les menaces mobiles évoluent tant dans les capacités offensives que dans les techniques d'évitement des infrastructures. La défense doit adapter les politiques de télémétrie mobile, de sensibilisation des utilisateurs et de contrôle des applications pour réduire la surface de l'attaque et détecter les comportements anormaux avant qu'ils ne deviennent des fraudes financières.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...