Um novo giro na evolução do troiano bancário TrickMo mostra como os atacantes procuram permanentemente espaços de ocultação na infraestrutura pública: a variante identificada como TrickMo.C, detectada por ThreatFabric e observada desde janeiro, incorpora comunicações sobre The Open Network (TON) e acrescenta um conjunto de comandos que a tornam uma ferramenta de controle remoto muito mais versátil e difícil de neutralizar.
TrickMo não é um ator novo: existe desde 2019 e continua desenvolvendo-se como uma peça modular com duas fases — um anfitrião APK para persistência e download em tempo de execução do módulo malicioso — que rouba credenciais bancárias e carteiras de criptomoedas mediante overlays de phishing, keylogging, gravação e transmissão de tela, intercepção de SMS e alteração da área de transferência. A variante recente, relatada por ThreatFabric, foi distribuída em campanhas que suplantam apps populares (por exemplo, versões falsificadas de TikTok e reprodutores de streaming) e foi observada em vítimas em países como França, Itália e Áustria. Mais detalhes técnicos sobre a análise estão disponíveis no relatório do ThreatFabric: https://www.threatfabric.com/blogs/trickmo-unmasked-the-hidden-dex-module-and-the-variant-that-replaced-it.
A inovação mais preocupante é o uso de TON como canal de comando e controle. TON oferece um overlay criptografado e endereços .adnl com identificadores de 256 bits em vez de nomes de domínio tradicionais, o que esconde endereços IP e portos reais e evita as contramedidas habituais como takedowns por DNS. Na prática, TrickMo incorpora um proxy TON local que enruta todo o tráfego C2 por essa rede, fazendo com que no perímetro só se veja o tráfego TON criptografado indistinguível do gerado por aplicações legítimas que usam a mesma rede. Para entender o projeto TON e a sua arquitetura, você pode consultar a documentação pública em https://ton.org.
Além desse canal, a última versão amplia seu repertório de ordens para incluir utilitários de diagnóstico e tunelização — por exemplo curl, dnsLookup, ping, telnet e traceroute— e funções de rede avançadas como tunelado SSH, reenvio de portos (local e remoto) e suporte de proxy SOCKS5 autenticado. Ou seja, além de roubar credenciais, um dispositivo comprometido pode ser transformado em um ponto de salto para explorar redes internas, pivotar para outros objetivos ou montar túneis que facilitem exfiltração e acesso persistente.
Do ponto de vista do defensor, isto levanta dois desafios claros: por um lado, a dificuldade operacional para identificar e desmantelar a infra-estrutura C2 tradicional; por outro, a necessidade de visibilizar atividades cifradas que se parecem a tráfico legítimo. As estratégias de mitigação para equipamentos corporativos devem incluir detecção baseada em comportamento (por exemplo processos que abrem proxies locais ou criam sockets incomuns em localhost), telemetria de endpoint que sinalizam processos Android com permissões sensíveis e controles de egress que possam identificar fluxos persistentes para redes overlay. A nível técnico, convém monitorizar o aparecimento de processos proxy locais em dispositivos Android e auditar permissões como acesso de acessibilidade, notificações e SMS que TrickMo costuma solicitar.
Para usuários móveis, a proteção viável continua sendo preventiva: Transferir apps apenas do Google Play, preferir aplicativos de editores reputados, manter ativado Play Protect e limitar o número de apps instalados. Google documenta Play Protect e boas práticas em seu centro de ajuda: https://support.google.com/googleplay/answer/2812853. Também é recomendável não ativar instalação de origens desconhecidas, rever permissões suspeitos (sobretudo acessibilidade, SMS e capacidade de desenhar sobre outras apps) e usar fatores de autenticação fortes para serviços financeiros; o ideal é combinar senhas com autenticadores independentes ou chaves físicas sempre que possível.
Se um dispositivo mostrar sintomas (consumo de bateria invulgarmente alto, aplicativos que pedem permissões extra ao instalar, mensagens de banco não recebidas ou transações não autorizadas), convém isolar o equipamento, mudar senhas de um dispositivo limpo e notificar imediatamente o banco. Para empresas, uma resposta adequada inclui bloquear contas afectadas, forçar MFA, realizar análises forenses do terminal e rever registos de egress e proxies que possam mostrar túneis ou reenvios de portos.
Finalmente, a incorporação de frameworks como Pine (embora inativo por agora nesta variante) e declarações de capacidades NFC não usadas mostram que os operadores mantêm código “listo para” ativar funções futuras. Isto sublinha que as ameaças móveis evoluem tanto em capacidades ofensivas como em técnicas de evasão de infra-estruturas. A defesa precisa adaptar a telemetria móvel, a consciência do usuário e as políticas de controle de aplicativos para reduzir a superfície de ataque e detectar comportamentos anormais antes de se tornarem fraude financeira.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...