Une variante récente du malware bancaire Android TrickMo, déployée contre des utilisateurs européens, intègre des commandes inédites et adopte le réseau The Open Network (TON) pour des communications discrètes avec ses infrastructures de contrôle.
Repéré initialement en septembre 2019, ce banker fait l’objet d’un développement continu avec des mises à jour régulières.
En octobre 2024, Zimperium a disséqué 40 variantes propagées par 16 droppers, en lien avec 22 serveurs C2 distincts, visant des données sensibles d’utilisateurs à travers le monde.
ThreatFabric a identifié la version actuelle, baptisée Trickmo.C, qu’elle surveille depuis janvier. Se faisant passer pour des applications TikTok ou de streaming, elle s’attaque aux identifiants bancaires et aux portefeuilles de cryptomonnaies en France, en Italie et en Autriche.
La principale innovation réside dans les échanges avec l’opérateur via des adresses .ADNL de TON, acheminés par un proxy local intégré au terminal infecté.
TON forme un réseau pair-à-pair décentralisé issu de l’écosystème Telegram, favorisant des connexions vers le web par une surcouche chiffrée, sans recourir à des serveurs internet exposés publiquement.
Grâce à un identifiant de 256 bits en lieu et place d’un domaine classique, TON occulte l’adresse IP et le port des communications, compliquant l’identification, le blocage ou la neutralisation des serveurs réels.
Les attaques contre les domaines traditionnels s’avèrent inutiles, car les points de terminaison de l’opérateur échappent à la hiérarchie DNS publique et se résolvent au sein du réseau de superposition TON lui-même, selon ThreatFabric.
Les détections de motifs de trafic en périphérie réseau ne repèrent que du flux TON chiffré, impossible à distinguer d’autres applications compatibles.
Source: ThreatFabric
Capacités de TrickMo
TrickMo adopte une conception modulaire en deux phases : un APK hôte assurant le chargement et la persistance, complété par un module APK téléchargé à l’exécution pour les fonctionnalités malveillantes.
Il vole les identifiants bancaires par superpositions de phishing, procède à de la saisie de frappes, à l’enregistrement et diffusion en direct d’écrans, à l’interception de SMS, à la suppression de notifications OTP, à la modification du presse-papiers, au filtrage de notifications et à la capture d’instantanés.
ThreatFabric note l’ajout de commandes comme curl, dnsLookup, ping, telnet, traceroute, tunnel SSH, redirection de ports distante et locale, ainsi que le support de proxy SOCKS5 authentifié.
Le framework d’accrochage d’exécution Pine, employé auparavant pour intercepter les opérations réseau et Firebase, apparaît présent sans crochets actifs.
TrickMo réclame des permissions NFC étendues et les signale dans ses relevés télémétriques, sans fonctionnalité NFC opérationnelle détectée.