TrickMo Android Bankacılık Truva Atı, TON Ağı Üzerinden Yeni Varyantla Tehdit Saçıyor Yazılım

TrickMo Android Bankacılık Truva Atı, TON Ağı Üzerinden Yeni Varyantla Tehdit Saçıyor

TrickMo'nun yeni varyantı, komut-kontrol trafiğini TON Blockchain üzerinden yönlendirerek geleneksel müdahale yöntemlerini etkisiz hale getiriyor.

Android bankacılık truva atı TrickMo'nun yeni bir varyantı, birincil komut ve kontrol (C2) trafiğini TON (The Open Network) Blockchain'ine taşıdı. ThreatFabric tarafından tespit edilen ve TrickMo C olarak adlandırılan bu varyant, Ocak-Şubat 2026 döneminde Fransa, İtalya ve Avusturya'daki bankacılık ve cüzdan kullanıcılarına yönelik aktif kampanyalarda kullanıldı. Yeni varyant, TON'un merkezi olmayan yapısını kullanarak .adnl kimlikleri üzerinden iletişim kuruyor ve bu sayede geleneksel alan adı kapatma yöntemlerini büyük ölçüde etkisiz hale getiriyor.

TrickMo, Android'in erişilebilirlik hizmetini kötüye kullanarak saldırganlara ele geçirilen cihaz üzerinde gerçek zamanlı etkileşimli bir görünüm sağlayan bir cihaz ele geçirme truva atıdır. Yetenekleri arasında WebView katmanları aracılığıyla kimlik avı, tuş kaydı, ekran akışı, tam çift yönlü uzaktan kontrol ve tek kullanımlık şifre bildirimlerinin sessizce bastırılması yer alıyor. Yeni varyantta en büyük değişiklik ağ katmanında gerçekleşti: APK, işlem başlatıldığında yerleşik bir yerel TON proxy'sini başlatıyor ve botun HTTP istemcisini bu proxy üzerinden yönlendiriyor. Böylece her C2 isteği bir .adnl ana bilgisayar adresine yönlendiriliyor ve genel DNS yerine TON ağı içinde çözümleniyor.

Varyant ayrıca, ele geçirilen cihazları programlanabilir ağ çıkış noktalarına dönüştüren bir ağ operasyonel alt sistemi içeriyor. Beş operatör komutu, cihazdan curl, dnslookup, ping, telnet ve traceroute gibi temel işlemleri çalıştırarak saldırgana, cihazın bağlı olduğu kurumsal veya ev ağı içinde keşif yapma imkanı sağlıyor. İkinci bir komut seti ise yerleşik bir SSH istemcisi ve cihaz üzerinde çalışan SOCKS5 proxy'si aracılığıyla soket düzeyinde tünelleme sağlıyor. Bu sayede saldırgan, kurbanın IP'sinden çıkıyormuş gibi görünen kimlik doğrulamalı programlanabilir bir ağ çıkışı elde ediyor.

Varyant ayrıca tam NFC izinleri bildiriyor ve Pine hooking çerçevesini içeriyor, ancak şu anki kodda bunlar kullanılmıyor. ThreatFabric, bunları daha sonra çalışma zamanında teslim edilmek üzere hazırlanmış yedek yetenekler olarak değerlendiriyor. TON ağının meşru bir platform olduğunu vurgulayan araştırmacılar, TrickMo'nun bu ağı kullanmasının üçüncü taraf kötüye kullanımı olduğunu belirtiyor. Bu gelişme, mobil kötü amaçlı yazılımların merkezi olmayan ağları nasıl daha etkili bir şekilde kullanabileceğini gösteriyor.

Paylaş: