Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
TrickMo to znany trojan bankowy na Androida, zaliczany także do malware typu Device Take Over. Jego podstawowym celem było dotąd przejmowanie kontroli nad urządzeniem ofiary, kradzież danych uwierzytelniających, obchodzenie wieloskładnikowego uwierzytelniania oraz wspieranie oszustw finansowych. Najnowszy wariant pokazuje jednak wyraźną zmianę operacyjną: złośliwe oprogramowanie staje się nie tylko narzędziem do ataków na bankowość mobilną, ale również platformą dostępową do sieci, z której korzysta ofiara.
W skrócie
Nowa wersja TrickMo, obserwowana na początku 2026 roku, była dystrybuowana przeciwko użytkownikom bankowości oraz portfeli kryptowalutowych we Francji, we Włoszech i w Austrii. Najważniejszą zmianą jest wykorzystanie sieci TON do komunikacji z infrastrukturą dowodzenia i kontroli, co utrudnia klasyczne blokowanie domen oraz analizę ruchu.
Malware zachowuje dotychczasowe funkcje, takie jak przechwytywanie SMS-ów, keylogging, zdalna kontrola urządzenia i nadużycie usług dostępności, ale jednocześnie zyskuje zdolności rozpoznania sieciowego, tunelowania SSH i uruchamiania proxy SOCKS5. W praktyce zainfekowany smartfon może stać się punktem pośredniczącym dla ruchu sieciowego prowadzonego z legalnego środowiska ofiary.
Kontekst / historia
Rodzina TrickMo jest aktywna co najmniej od 2019 roku i od początku była kojarzona z przejmowaniem urządzeń mobilnych oraz omijaniem mechanizmów bezpieczeństwa, zwłaszcza dzięki nadużywaniu Android Accessibility Services. W poprzednich kampaniach złośliwe aplikacje często podszywały się pod legalne komponenty systemowe lub usługi związane z aplikacjami finansowymi.
W najnowszej odsłonie nie doszło do całkowitej zmiany funkcji końcowych, lecz do gruntownej przebudowy architektury. Badacze wskazują, że wariant określany jako TrickMo C stopniowo zastępuje starsze wersje w aktywnych kampaniach. Dystrybucja odbywała się między innymi przez fałszywe strony phishingowe oraz droppery podszywające się pod zmodyfikowane aplikacje TikTok promowane w mediach społecznościowych. Po uruchomieniu dropper pobiera dodatkowy moduł wykonywalny, co zwiększa elastyczność kampanii i utrudnia analizę próbki.
Analiza techniczna
Najważniejsza zmiana dotyczy warstwy komunikacyjnej. Zamiast opierać się na klasycznej infrastrukturze internetowej i publicznym DNS, nowy TrickMo komunikuje się z serwerami operatora przez The Open Network. Aplikacja uruchamia lokalny natywny proxy TON na porcie loopback, a ruch HTTP klienta malware jest kierowany do endpointów .adnl rozwiązywanych w obrębie sieci nakładkowej TON. Taki model znacząco ogranicza skuteczność tradycyjnych działań obronnych, takich jak przejmowanie domen, sinkholing czy filtrowanie ruchu na podstawie domen i adresów IP.
Drugim istotnym elementem jest architektura modułowa. Aplikacja bazowa odpowiada za utrzymanie, uruchamianie i maskowanie aktywności, natomiast właściwa logika ofensywna dostarczana jest jako dynamicznie ładowany moduł APK o nazwie „dex.module”. Dzięki temu operatorzy mogą selektywnie dostarczać funkcje zależnie od kampanii, regionu lub profilu ofiary, a jednocześnie utrudniać analizę statyczną.
Nowy wariant zachowuje również klasyczne możliwości TrickMo, w tym:
- phishing nakładkowy z użyciem pełnoekranowych widoków WebView,
- keylogging i korelację wpisywanych danych z aktywną aplikacją,
- nagrywanie ekranu i strumieniowanie obrazu na żywo,
- przechwytywanie SMS-ów i powiadomień,
- zdalne wykonywanie działań na urządzeniu przez Accessibility Services.
Najbardziej przełomowym dodatkiem są jednak funkcje sieciowe. Operator może wykonywać z poziomu zainfekowanego telefonu polecenia odpowiadające narzędziom takim jak curl, dnslookup, ping, telnet czy traceroute. Oznacza to możliwość prowadzenia rozpoznania z perspektywy rzeczywistej sieci, do której podłączony jest telefon, w tym sieci domowej lub firmowej.
Jeszcze poważniejsze znaczenie mają mechanizmy tunelowania. TrickMo implementuje SSH local-forward i remote-forward, a także lokalne proxy SOCKS5 z uwierzytelnianiem. Taki zestaw umożliwia operatorom:
- przekierowywanie ruchu przez telefon ofiary,
- wystawianie usług z sieci wewnętrznej ofiary na zewnątrz przez tunel,
- uzyskanie punktu wyjściowego dla działań prowadzonych z adresacji IP ofiary,
- omijanie mechanizmów detekcji opartych na reputacji IP i geolokalizacji.
Badacze zwrócili także uwagę na elementy sugerujące dalszy rozwój platformy. W kodzie obecny jest framework Pine do hookingu metod, choć w analizowanej wersji nie został jeszcze aktywnie wykorzystany. Aplikacja deklaruje również szerokie uprawnienia związane z NFC, mimo że nie zawiera obecnie osiągalnej logiki do takich operacji. To wskazuje, że operatorzy przygotowują TrickMo do rozszerzania funkcjonalności bez konieczności przebudowy głównego komponentu.
Konsekwencje / ryzyko
Nowy TrickMo zwiększa ryzyko na kilku poziomach jednocześnie. Dla użytkownika końcowego nadal oznacza zagrożenie dla bankowości mobilnej, portfeli kryptowalutowych, kodów jednorazowych i danych logowania. Jednak z perspektywy organizacji kompromitacja telefonu pracownika może przełożyć się na incydent obejmujący również sieć korporacyjną.
- Urządzenie mobilne może zostać wykorzystane jako punkt pivotingu do dalszego rozpoznania sieci.
- Możliwe jest tworzenie tuneli do zasobów dostępnych wyłącznie lokalnie.
- Przestępcza aktywność może być ukrywana za ruchem pochodzącym z legalnego adresu IP ofiary.
- Wykorzystanie TON utrudnia wykrywanie i blokowanie komunikacji C2.
- Modułowa architektura ułatwia późniejsze rozszerzanie malware o kolejne funkcje.
Dla zespołów bezpieczeństwa szczególnie problematyczne jest to, że ruch generowany przez malware może wyglądać jak zwykła aktywność smartfona, a nie jak klasyczna komunikacja ze znaną infrastrukturą przestępczą. To wymusza traktowanie urządzeń mobilnych jako pełnoprawnych węzłów dostępowych do środowiska organizacji.
Rekomendacje
W odpowiedzi na ten typ zagrożenia firmy powinny objąć urządzenia mobilne podobnym poziomem kontroli jak stacje robocze i serwery. Kluczowe działania obejmują:
- wdrożenie mobilnej telemetrii bezpieczeństwa i monitorowanie nadużyć Accessibility Services, dynamicznego ładowania modułów oraz nietypowego tunelowania,
- ograniczenie zaufania do urządzeń BYOD poprzez polityki MDM lub MTD, segmentację sieci i zasadę minimalnych uprawnień,
- blokowanie instalacji aplikacji spoza zaufanych źródeł oraz ograniczenie sideloadingu,
- monitorowanie anomalii sieciowych wskazujących na proxy SOCKS, tunelowanie lub nietypowe użycie narzędzi diagnostycznych,
- wzmocnienie ochrony aplikacji finansowych dodatkowymi sygnałami behawioralnymi i oceną ryzyka sesji,
- traktowanie objawów przejęcia telefonu jako incydentu wysokiego ryzyka, zwłaszcza gdy pojawiają się nietypowe ekrany logowania, problemy z powiadomieniami lub nieoczekiwana aktywacja usług dostępności.
Podsumowanie
Najnowszy wariant TrickMo pokazuje, że współczesne malware mobilne ewoluuje od prostego trojana bankowego do wielofunkcyjnej platformy operacyjnej umożliwiającej zdalny dostęp, rozpoznanie i pivoting sieciowy. Wykorzystanie TON do komunikacji C2 zwiększa odporność infrastruktury przestępczej na zakłócenia, a dodanie SSH i SOCKS5 znacząco rozszerza możliwości operatorów.
Dla obrońców oznacza to konieczność patrzenia na kompromitację smartfona nie tylko jak na incydent fraudowy, lecz także jak na potencjalny punkt wejścia do sieci organizacji. Ochrona Androida staje się więc elementem bezpieczeństwa całego środowiska przedsiębiorstwa, a nie wyłącznie problemem użytkownika końcowego.
Źródła
- The Hacker News — New TrickMo Variant Uses TON C2 and SOCKS5 to Create Android Network Pivots — https://thehackernews.com/2026/05/new-trickmo-variant-uses-ton-c2-and.html
- ThreatFabric — New TrickMo Variant: Device Take Over malware targeting Banking, Fintech, Wallet & Auth apps — https://www.threatfabric.com/blogs/new-trickmo-variant-device-take-over-malware-targeting-banking-fintech-wallet-auth-app