TrickMo Android Bankacılık Truva Atı, TON Blockchain Üzerinden Yönlendiriliyor Siber Güvenlik

TrickMo Android Bankacılık Truva Atı, TON Blockchain Üzerinden Yönlendiriliyor

TrickMo'nun yeni varyantı, komuta ve kontrol (C2) trafiğini TON Blockchain üzerinden yönlendirerek geleneksel alan adı kaldırma yöntemlerini etkisiz h

TrickMo Android bankacılık truva atının yeni bir varyantı, birincil komuta ve kontrol (C2) iletimini The Open Network (TON) Blockchain’ine taşıdı. ThreatFabric tarafından TrickMo C olarak etiketlenen bu varyant, Ocak-Şubat 2026 arasında Fransa, İtalya ve Avusturya’daki bankacılık ve cüzdan kullanıcılarına yönelik aktif kampanyalarda tespit edildi. Telemetri verileri, varyantın operatör kampanyalarında önceki sürümün yerini giderek aldığını ve Facebook reklamları aracılığıyla TikTok temalı tuzaklar kullanıldığını gösterdi.

TrickMo, Android’in erişilebilirlik hizmetini kötüye kullanarak operatörlere ele geçirilen cihazın gerçek zamanlı etkileşimli bir görünümünü sağlayan bir cihaz ele geçirme truva atıdır. Yetenekleri arasında WebView katmanları aracılığıyla kimlik avı, tuş kaydı, ekran akışı, tam çift yönlü uzaktan kumanda ve tek kullanımlık şifre (OTP) bildirimlerinin sessizce bastırılması bulunuyor. En büyük değişiklik ise ağ katmanında: APK, işlem başlatıldığında yerleşik bir yerel TON proxy’sini bir loopback portunda başlatıyor ve botun HTTP istemcisini bu proxy üzerinden yönlendiriyor. Böylece her C2 isteği bir .adnl alan adına yönlendiriliyor ve genel DNS yerine TON katmanında çözümleniyor.

Operatörlerin sunucuları, merkeziyetsiz ağ içinde çözümlenen TON kimlikleri olarak var olduğundan, geleneksel alan adı kaldırma yöntemleri büyük ölçüde etkisiz hale geliyor. Ağ ucunda trafik, diğer TON etkin uygulamaların çıktısından ayırt edilemez görünüyor. ThreatFabric, TON’un meşru bir merkeziyetsiz platform olduğunu ve TrickMo operatörlerinin kullanımının üçüncü taraf kötüye kullanımı olduğunu vurguluyor. Ayrıca varyant, ele geçirilen cihazları programlanabilir ağ çıkış noktalarına dönüştüren bir ağ operasyon alt sistemi de içeriyor. Beş operatör komutu (curl, dnslookup, ping, telnet, traceroute) ile cihazın bağlı olduğu kurumsal veya ev ağında keşif yapılabiliyor.

İkinci bir komut seti, yerleşik bir SSH istemcisi ve cihaz üzerinde kullanıcı adı/parola doğrulamalı SOCKS5 proxy aracılığıyla soket düzeyinde tünelleme sağlıyor. Bu özellikler birleştiğinde, mağdurun cihazında kimliği doğrulanmış programlanabilir bir ağ çıkışı oluşuyor ve giden trafik mağdurun IP’sinden geliyormuş gibi görünerek IP tabanlı dolandırıcılık tespitini atlatıyor. Varyant ayrıca tam NFC izinleri bildiriyor ve Pine hooking çerçevesini içeriyor, ancak şu anki kodda bunlar kullanılmıyor. ThreatFabric, bu özelliklerin çalışma zamanında teslim edilmek üzere ayrılmış yetenekler olduğunu değerlendiriyor.

Paylaş: