Android bankacılık trojanı TrickMo'nun yeni bir varyantı, komuta-kontrol (C2) trafiğini The Open Network (TON) Blockchain üzerine taşıdı. ThreatFabric tarafından TrickMo C olarak adlandırılan bu varyant, Ocak-Şubat 2026 arasında Fransa, İtalya ve Avusturya'da bankacılık ve cüzdan kullanıcılarını hedef alan aktif kampanyalarda tespit edildi. TikTok temalı tuzakların Facebook reklamları aracılığıyla yayıldığı belirtiliyor.
TrickMo, Android erişilebilirlik hizmetini kötüye kullanarak operatörlere ele geçirilen cihazın gerçek zamanlı etkileşimli görünümünü sağlayan bir cihaz ele geçirme trojanıdır. Yetenekleri arasında WebView katmanları üzerinden kimlik avı, tuş kaydı, ekran akışı, tam çift yönlü uzaktan kontrol ve tek kullanımlık şifre (OTP) bildirimlerinin sessizce bastırılması yer alıyor.
En büyük değişiklik ağ katmanında gerçekleşti. ThreatFabric'e göre, APK dosyası işlem başlatıldığında gömülü bir TON proxy'sini localhost üzerinde başlatıyor ve botun HTTP istemcisini bu proxy üzerinden yönlendiriyor. Bu sayede her C2 isteği .adnl hostname'ine yönlendirilir ve genel DNS yerine TON ağı içinde çözümlenir. Botun hâlâ yaptığı birkaç clearnet sorgusu ise genel DNS-over-HTTPS uç noktası üzerinden yönlendirilerek cihazın yerel çözümleyicisine asla ulaşmaz.
Uzmanların Görüşleri
Araştırmacılar, bu tasarımın geleneksel alan adı kapatma yöntemlerini büyük ölçüde etkisiz hale getirdiğini belirtiyor. Operatör uç noktaları, merkezi olmayan ağ içinde çözümlenen TON kimlikleri olarak var olduğu için trafik, herhangi bir TON etkin uygulamanın çıktısından ayırt edilemez. ThreatFabric, TON platformunun aslında Telegram için geliştirilmiş meşru bir merkeziyetsiz platform olduğunu ve TrickMo operatörlerinin bu platformu kötüye kullandığını vurguluyor.
Gelecekte Ne Bekleniyor?
Varyant ayrıca, enfekte cihazları programlanabilir ağ çıkış noktalarına dönüştüren bir ağ işlem alt sistemi sunuyor. Beş operatör komutu (curl, dnslookup, ping, telnet, traceroute) cihaz üzerinden çalıştırılarak, cihazın bağlı olduğu kurumsal veya ev ağı içinde keşif yapılmasına olanak tanıyor. İkinci bir komut seti ise gömülü SSH istemcisi ve cihaz üzerinde SOCKS5 proxy ile kimlik doğrulamalı soket düzeyinde tünelleme sağlıyor.
ThreatFabric, bu özelliklerin birleşimiyle kurbanın cihazında doğrulanmış programlanabilir bir ağ çıkışı oluştuğunu ve giden trafiğin kurbanın IP'sinden geliyormuş gibi göründüğünü, böylece IP tabanlı dolandırıcılık tespitlerini devre dışı bıraktığını belirtiyor. Ayrıca varyant, tam NFC izinleri bildiriyor ve Pine hooking çerçevesini içeriyor; ancak bu özellikler mevcut kodda kullanılmıyor. ThreatFabric, bunları çalışma zamanında teslim edilmek üzere ayrılmış yetenekler olarak değerlendiriyor.
Kaynak: infosecurity-magazine.com