TrickMo Android bankacılık trojanının yeni bir varyantı, birincil komuta ve kontrol (C2) iletimini The Open Network (TON) Blockchain üzerine taşıdı. ThreatFabric tarafından tespit edilen ve TrickMo C olarak adlandırılan bu varyant, iletişimlerini merkeziyetsiz overlay ağının .adnl kimlikleri üzerinden yönlendirerek geleneksel alan adı kapatma yöntemlerini büyük ölçüde etkisiz hale getiriyor. Şirketin Mobil Tehdit İstihbarat Ekibi'nin analizine göre, varyant Ocak-Şubat 2026 arasında Fransa, İtalya ve Avusturya'daki bankacılık ve cüzdan kullanıcılarını hedef alan aktif kampanyalarda kullanıldı.
Telemetri verileri, varyantın operatör kampanyalarında önceki sürümünün yerini giderek aldığını ve Facebook reklamları aracılığıyla TikTok temalı tuzaklar kullanıldığını gösteriyor. TrickMo, Android erişilebilirlik hizmetini kötüye kullanan bir cihaz ele geçirme trojanıdır; operatörlere ele geçirilen cihazın gerçek zamanlı etkileşimli bir görünümünü sağlar. Yetenekleri arasında WebView katmanları üzerinden kimlik avı, tuş kaydı, ekran akışı, tam çift yönlü uzaktan kontrol ve tek kullanımlık şifre (OTP) bildirimlerinin sessizce bastırılması yer alır.
Varyanttaki en büyük değişiklik ağ katmanıdır. ThreatFabric, ana APK'nın süreç başlatıldığında döngü arabiriminde gömülü yerel bir TON proxy'si başlattığını ve botun HTTP istemcisini bu proxy üzerinden yönlendirdiğini belirtiyor. Bu sayede her C2 isteği bir .adnl ana bilgisayar adına yönlendirilir ve genel DNS yerine TON overlay içinde çözümlenir. Botun hâlâ gerçekleştirdiği birkaç clearnet araması, genel bir DNS-over-HTTPS uç noktası üzerinden yönlendirilir, böylece bu sorgular bile cihazın yerel çözümleyicisine ulaşmaz.
Araştırmacılar, bu tasarımın geleneksel alan adı kapatma yöntemlerini büyük ölçüde etkisiz hale getirdiğini, çünkü operatör uç noktalarının merkeziyetsiz ağ içinde çözümlenen TON kimlikleri olarak var olduğunu vurguluyor. Ağın ucunda, trafik diğer TON etkin uygulamaların çıktısından ayırt edilemez durumda. The Open Network, başlangıçta Telegram için oluşturulmuş meşru bir merkeziyetsiz platformdur ve ThreatFabric, TrickMo operatörleri tarafından kullanımının, TON projesinin herhangi bir dahli olmaksızın üçüncü bir tarafça kötüye kullanıldığını yansıttığını belirtiyor.
Varyant ayrıca, ele geçirilen cihazları programlanabilir pivot noktalarına dönüştüren bir ağ işlemsel alt sistemi de sunuyor. Beş operatör komutu, cihazın bakış açısından curl, dnslookup, ping, telnet ve traceroute temel işlemlerini çalıştırarak operatöre, cihazın bağlı olduğu herhangi bir kurumsal veya ev ağı içinde keşif yapmak için kabuk eşdeğeri bir yetenek sağlıyor. İkinci bir komut seti, gömülü bir SSH istemcisi ve kullanıcı adı/parola doğrulamalı cihaz üzeri SOCKS5 proxy aracılığıyla soket düzeyinde tünelleme sağlıyor.
Sonuç ve Değerlendirme
ThreatFabric, bu özelliklerin birleştiğinde, kurbanın cihazında doğrulanmış programlanabilir bir ağ çıkışı oluşturduğunu ve giden trafiğin kurbanın IP'sinden geliyormuş gibi görünerek IP tabanlı sahtekarlık tespitini etkisiz hale getirdiğini belirtiyor. Varyant ayrıca tam NFC izinleri bildiriyor ve Pine hooking çerçevesini içeriyor, ancak bunlar mevcut kodda kullanılmıyor. ThreatFabric, her ikisini de daha sonra çalışma zamanında teslim edilmek üzere ana bilgisayarda sağlanan yedek yetenekler olarak değerlendiriyor.
Kaynak: infosecurity-magazine.com