A família de troianos bancários TrickMo deu um salto arquitetônico que merece atenção: nas amostras analisadas entre janeiro e fevereiro de 2026, os operadores integraram a rede descentralizada de The Open Network (TON) como canal de comando e controle, e os telefones comprometidos em pivotes de rede programáveis foram transferidos. Essa mudança não é apenas uma curiosidade técnica, mas uma evolução estratégica com implicações diretas para usuários, bancos e defensores de infraestrutura crítica.
Desde sua aparição em 2019, TrickMo foi conhecido por abusar dos serviços de acessibilidade no Android para interceptar códigos de um único uso, roubar credenciais e exercer controle remoto do dispositivo. A nova versão documentada por ThreatFabric mantém essas capacidades, mas incorpora um módulo dinâmico carregado em tempo de execução (dex.module) que expande as funções de reconhecimento de rede, túneis SSH e proxy SOCKS5 autenticados. Na prática, um telefone infectado pode agora enrutar tráfego malicioso da rede local da vítima, fazer pesquisas internas e camuflar transações fraudulentas com o endereço IP do usuário afetado.
A técnica escolhida para se comunicar com a infra-estrutura de comando —utilizar endpoints .adnl resolubles através da superposição de TON — acrescenta camadas de resiliência frente às medidas tradicionais de bloqueio e takedown. Ao iniciar um proxy TON nativo em localhost, o malware encapsula seus pedidos HTTP através da rede descentralizada, o que reduz a visibilidade dos indicadores de comprometimento na rede pública e complica a identificação de servidores remotos maliciosos por listas de bloqueio convencionais.
Além do mecanismo de C2, a inclusão de comandos como curl, dnslookup, ping, telnet ou traceroute torna o dispositivo infectado em uma estação de reconhecimento da perspectiva da rede da vítima. Isto altera a imagem clássica do “troyano bancário” focado apenas em interceptar OTPs: estamos perante um ator que busca manter um ponto de apoio gerido em redes-alvo para realizar movimento lateral, fraude transaccional e anonimização de acesso mediante proxies.
O impacto prático para usuários e organizações é claro. Para particulares, a ameaça implica não só o roubo de credenciais, mas a possibilidade de sua conexão doméstica ser usada como saída para atividades criminosas. Para empresas, um empregado com um telemóvel comprometido na rede Wi-Fi corporativa pode facilitar deslocamentos laterais ou acesso a serviços internos de uma IP legítima da organização, sorteando controles baseados apenas em endereços de origem.
Detectar e mitigar esta ameaça exige adaptar controles à sua natureza híbrida entre malware móvel e ferramenta de rede. Nos dispositivos, é fundamental evitar a instalação de apps fora de lojas oficiais e desconfiar de aplicativos que solicitem permissões de acessibilidade, serviços em primeiro plano ou elevação a “Google Play Services”. A prática de sideloading e o uso de droppers que se fazem passar por versões “adultas” de aplicações conhecidas é o vetor usado nesses casos; a higiene digital básica continua sendo a primeira barreira.
Para operadores de segurança e administradores, as estratégias devem combinar visibilidade no endpoint móvel com monitoramento da camada de rede e controles de acesso. Rever inventários de aplicações, aplicar políticas MDM/EMM que restrinjam instalações de terceiros, e habilitar APIs de detecção de comportamento anormais em dispositivos são medidas eficazes. Na rede, é importante buscar indicadores como processos locais que abrem portos de loopback, a presença de serviços SOCKS5 ou padrões de conexão incomuns que não encaixam com aplicações legítimas.
A natureza descentralizada de TON complica o bloqueio por listas de domínios, pelo que as defesas não podem depender exclusivamente de filtragem DNS/IP. É mais eficaz combinar controles de acesso condicional, segmentação de rede e autenticação resistente a phishing (por exemplo, chaves FIDO para acessos sensíveis) para reduzir o impacto de conexões originadas de dispositivos comprometidos. As organizações também devem rever políticas BYOD e considerar a separação de redes para dispositivos não geridos.
Outro aspecto a considerar é a evolução potencial do malware: os pesquisadores têm apontado a presença de características inativas relacionadas ao hooking e permissões NFC, o que sugere que os desenvolvedores poderiam ampliar funcionalidades para interceptar pagamentos contactless ou hookear APIs críticas em futuras variantes. Isso reforça a necessidade de manter programas de resposta a incidentes atualizados e exercícios de caça de ameaças que incluam móveis como superfície de risco.
Em termos legais e de resposta comunitária, a utilização de infra-estruturas descentralizadas coloca desafios para as operações de interrupção tradicionais. A colaboração entre fabricantes de dispositivos, fornecedores de redes e entidades de investigação é essencial para desenvolver sinais de detecção partilhados e mecanismos que permitam identificar padrões anormais sem interferir em serviços legítimos da rede descentralizada. Recursos de referência e análise sobre TON e técnicas de evasão podem ser consultados nas páginas oficiais da rede e em relatórios de empresas de análise de ameaças.
Se suspeitar que o seu dispositivo tenha sido comprometido, consulte as permissões de aplicativos, reponha o telefone após cópia de segurança de dados essenciais e, no contexto empresarial, comunique ao equipamento de segurança para uma análise forense. Para prevenir futuros incidentes, priorize a formação de usuários sobre engenharia social, atualizações automáticas do celular e a implantação de políticas técnicas que limitem o alcance de apps instalaveis.
A convergência entre malware móvel e redes descentralizadas marca uma nova etapa na ameaça digital: mais camuflagem, maior resiliência e capacidades de abuso de recursos de terceiros. Conhecer essas táticas e adaptar as defesas – do usuário individual até a infraestrutura empresarial – é a melhor resposta disponível hoje.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...