TrickMo na Androidzie wykorzystuje sieć TON do ukrytej komunikacji C2 - Security Bez Tabu

TrickMo na Androidzie wykorzystuje sieć TON do ukrytej komunikacji C2

Cybersecurity news

Wprowadzenie do problemu / definicja

TrickMo to zaawansowany trojan bankowy na Androida, który od lat jest rozwijany z myślą o kradzieży danych uwierzytelniających, przejmowaniu sesji bankowych oraz uzyskiwaniu dostępu do aplikacji finansowych i portfeli kryptowalutowych. Najnowszy wariant tej rodziny pokazuje jednak wyraźną ewolucję zagrożenia: cyberprzestępcy przenieśli komunikację z infrastrukturą dowodzenia i kontroli do sieci TON, co istotnie utrudnia wykrywanie i blokowanie aktywności malware.

To przesunięcie z tradycyjnej infrastruktury internetowej do zdecentralizowanej warstwy komunikacyjnej oznacza zmianę jakościową. Zainfekowany smartfon nie służy już wyłącznie do kradzieży danych użytkownika, ale może stać się elementem szerszej infrastruktury operacyjnej wykorzystywanej przez operatorów kampanii.

W skrócie

Nowa odsłona TrickMo była obserwowana w kampaniach wymierzonych m.in. w użytkowników we Francji, Włoszech i Austrii. Złośliwe oprogramowanie podszywa się pod popularne aplikacje, takie jak TikTok czy usługi streamingowe, a po uzyskaniu odpowiednich uprawnień przejmuje szeroką kontrolę nad urządzeniem.

  • Komunikacja C2 odbywa się przez sieć TON i adresy .adnl.
  • Malware zachowuje modułową architekturę i ładuje część funkcji dynamicznie.
  • Nowy wariant oferuje funkcje rekonesansu sieciowego, tunelowanie SSH i proxy SOCKS5.
  • Zainfekowany telefon może zostać wykorzystany jako punkt pośredniczący w ruchu sieciowym.
  • Zagrożenie wykracza poza klasyczny model trojana bankowego.

Kontekst / historia

TrickMo został po raz pierwszy opisany w 2019 roku jako mobilny trojan bankowy atakujący użytkowników Androida. W kolejnych latach rodzina była stale rozbudowywana, a jej autorzy dodawali nowe mechanizmy obchodzenia zabezpieczeń, przejmowania urządzeń i utrzymania trwałości działania.

Obecny wariant, określany jako Trickmo.C, nie jest całkowicie nową rodziną, lecz znacząco przebudowaną wersją istniejącej platformy. Zmiany obejmują zarówno warstwę komunikacyjną, jak i zestaw dostępnych poleceń oraz możliwości użycia urządzenia ofiary do działań sieciowych. To ważne, ponieważ pokazuje przejście od klasycznego oszustwa bankowego do bardziej uniwersalnego modelu nadużyć.

Analiza techniczna

TrickMo nadal działa w architekturze modułowej. Aplikacja pełniąca rolę hosta odpowiada za loader i mechanizmy utrzymania, natomiast właściwe funkcje ofensywne mogą być dostarczane i aktywowane dynamicznie. Taki model utrudnia analizę statyczną i pozwala operatorom rozwijać malware bez konieczności przebudowy całego łańcucha infekcji.

Najważniejszą zmianą techniczną jest przeniesienie komunikacji C2 do The Open Network. Zamiast korzystać z klasycznych domen i publicznych adresów IP, malware używa adresów .adnl obsługiwanych przez warstwę overlay. Na urządzeniu uruchamiany jest lokalny proxy TON, przez który przechodzi ruch klienta HTTP. W praktyce oznacza to mniejszą skuteczność tradycyjnych metod opartych na analizie DNS, reputacji domen i blokowaniu znanych serwerów C2.

Dodatkowo próbki mają wykorzystywać DNS-over-HTTPS dla wybranych hostów poza siecią overlay, co jeszcze bardziej ogranicza widoczność zapytań na poziomie lokalnej infrastruktury bezpieczeństwa. Dla zespołów SOC i analityków malware oznacza to konieczność większego nacisku na analizę behawioralną oraz telemetrię z urządzeń końcowych.

Warstwa funkcjonalna pozostaje bardzo rozbudowana. TrickMo może wyświetlać nakładki phishingowe, przechwytywać wpisywany tekst, nagrywać ekran, przesyłać obraz na żywo, przechwytywać SMS-y i powiadomienia, wykonywać zrzuty ekranu oraz wykorzystywać usługi dostępności do zdalnego sterowania urządzeniem.

Nowy wariant rozszerza ten zestaw o funkcje typowe raczej dla narzędzi wspierających rekonesans i ruch boczny:

  • curl,
  • dnsLookup,
  • ping,
  • telnet,
  • traceroute,
  • tunelowanie SSH,
  • zdalne i lokalne przekierowanie portów,
  • uwierzytelniane proxy SOCKS5.

W praktyce oznacza to możliwość użycia smartfona ofiary jako mobilnego pivota w sieci domowej lub firmowej. Operator może badać dostępność hostów, rozwiązywać nazwy, śledzić ścieżki połączeń i zestawiać tunele, które czynią z urządzenia pośrednika dla dalszych działań.

Badacze zauważyli również obecność frameworka Pine do hookingu metod, choć w analizowanym wariancie nie potwierdzono aktywnego użycia hooków. Podobnie deklarowane są szerokie uprawnienia związane z NFC, jednak bez dowodów na ich bieżące wykorzystanie. Może to sugerować przygotowanie pod przyszłe moduły lub rozszerzenia funkcjonalne.

Konsekwencje / ryzyko

Dla użytkownika końcowego TrickMo oznacza wysokie ryzyko przejęcia danych logowania, kodów MFA, sesji aplikacji bankowych i dostępu do portfeli kryptowalutowych. Szczególnie groźny jest scenariusz, w którym przestępcy wykonują operacje bezpośrednio z urządzenia ofiary, co może utrudniać wykrycie nadużyć przez systemy antyfraudowe.

Dla organizacji zagrożenie jest jeszcze szersze. Jeśli zainfekowany telefon łączy się z zasobami firmowymi, może zostać wykorzystany do rekonesansu sieciowego, tunelowania ruchu i obchodzenia polityk dostępowych. Funkcje SSH i SOCKS5 zwiększają ryzyko użycia urządzenia jako punktu wyjścia dla aktywności przestępczej, a reputacja oraz geolokalizacja ruchu będą wskazywać na ofiarę.

Migracja komunikacji C2 do TON utrudnia też klasyczne działania obronne. IOC oparte na domenach, blokowanie DNS czy przejmowanie infrastruktury tracą na skuteczności, ponieważ ruch jest ukryty w infrastrukturze overlay i może przypominać legalną aktywność sieciową.

Rekomendacje

Nowy wariant TrickMo powinien być traktowany nie tylko jako zagrożenie finansowe, ale również jako ryzyko infrastrukturalne. Ochrona wymaga połączenia zabezpieczeń mobilnych, kontroli uprawnień, monitorowania sieci i polityk zero trust.

  • Instalować aplikacje wyłącznie z oficjalnych i zaufanych źródeł.
  • Ograniczać liczbę aplikacji na urządzeniach do niezbędnego minimum.
  • Weryfikować wydawcę aplikacji i zakres żądanych uprawnień.
  • Utrzymywać aktywne mechanizmy ochronne oraz aktualny system Android.
  • Blokować nadmierne uprawnienia, szczególnie usługi dostępności, odczyt SMS, powiadomień i nakładki ekranowe.
  • W środowiskach firmowych wdrażać rozwiązania klasy MTD lub mobilny EDR.
  • Monitorować nietypowe połączenia wychodzące, lokalne proxy i tunele sieciowe.
  • Segmentować sieć i ograniczać zaufanie do urządzeń mobilnych uzyskujących dostęp do zasobów organizacji.
  • Uwzględniać urządzenia mobilne w threat huntingu i reagowaniu na incydenty.

Z perspektywy zespołów bezpieczeństwa kluczowe staje się także rozwijanie zdolności do analizy ruchu związanego z sieciami overlay, wykrywania dynamicznie ładowanych modułów oraz korelacji zdarzeń pomiędzy warstwą systemową, aplikacyjną i sieciową.

Podsumowanie

Najnowszy wariant TrickMo pokazuje, że mobilne trojany bankowe stają się bardziej odporne, elastyczne i wielozadaniowe. Wykorzystanie sieci TON do ukrytej komunikacji C2 znacząco podnosi poprzeczkę dla obrońców, a dodatkowe funkcje tunelowania i rekonesansu sieciowego rozszerzają potencjalne zastosowania malware daleko poza klasyczne oszustwa finansowe.

Dla organizacji i użytkowników to wyraźny sygnał, że bezpieczeństwo urządzeń mobilnych nie może być traktowane jako osobny, marginalny obszar. Smartfon zainfekowany nowoczesnym malware może stać się pełnoprawnym elementem infrastruktury przestępczej i punktem wejścia do szerszych incydentów bezpieczeństwa.

Źródła

  1. BleepingComputer – TrickMo Android banker adopts TON blockchain for covert comms — https://www.bleepingcomputer.com/news/security/trickmo-android-banker-adopts-ton-blockchain-for-covert-comms/
  2. ThreatFabric – New TrickMo Variant: Device Take Over malware targeting Banking, Fintech, Wallet & Auth apps — https://www.threatfabric.com/blogs/new-trickmo-variant-device-take-over-malware-targeting-banking-fintech-wallet-auth-app