TrickMo Variant, Android Trojan Trafiğini TON Üzerinden Yönlendiriyor Linux

TrickMo Variant, Android Trojan Trafiğini TON Üzerinden Yönlendiriyor

TrickMo Android bankacılık truva atının yeni bir çeşidi, birincil komuta ve kontrol (C2) aktarımını Açık Ağ (TON) Blockchain'e taşıdı ve geleneksel al...

TrickMo Android bankacılık truva atının yeni bir çeşidi, birincil komuta ve kontrol (C2) aktarımını Açık Ağ (TON) Blockchain'e taşıdı ve geleneksel alan adı kaldırma işlemlerini büyük ölçüde etkisiz hale getirmek için iletişimi merkezi olmayan katmanın .adnl kimlikleri aracılığıyla yönlendirdi.

Firmanın Mobil Tehdit İstihbarat Ekibi tarafından yapılan yeni analize göre, ThreatFabric tarafından tanımlanan ve TrickMo C olarak etiketlenen varyant, Ocak ve Şubat 2026 arasında Fransa, İtalya ve Avusturya'daki bankacılık ve cüzdan kullanıcılarına yönelik aktif kampanyalarda izlendi.

Telemetri, Facebook reklamları aracılığıyla TikTok temalı yemlerin dağıtılmasıyla, varyantın operatör kampanyalarında kademeli olarak öncülünün yerini aldığını gösterdi.

TrickMo, Android'in erişilebilirlik hizmetini kötüye kullanarak operatörlere ele geçirilen cihazın gerçek zamanlı etkileşimli görünümünü sunan, cihazı ele geçiren bir truva atıdır.

Yetenekleri arasında WebView katmanları aracılığıyla kimlik avı, tuş kaydı, ekran akışı, tam çift yönlü uzaktan kontrol ve tek kullanımlık şifre (OTP) bildirimlerinin sessizce bastırılması yer alıyor.

TON Temeline Dayalı Merkezi Olmayan Bir C2

Varyanttaki en büyük değişiklik ağ katmanıdır. ThreatFabric, ana bilgisayar APK'sının, işlem başlatıldığında bir geridöngü bağlantı noktasında yerleşik bir yerel TON proxy'si başlattığını ve botun HTTP istemcisini bunun üzerinden bağladığını, böylece her C2 isteğinin bir .adnl ana bilgisayar adına yönlendirildiğini ve genel DNS yerine TON katmanı içinde çözüldüğünü söyledi.

Uzmanların Görüşleri

Botun hala gerçekleştirdiği bir avuç clearnet araması, genel bir DNS-over-HTTPS uç noktası üzerinden yönlendiriliyor, dolayısıyla bu sorgular bile asla cihazın yerel çözümleyicisine ulaşmıyor.

Araştırmacılar, merkezi olmayan ağ içinde çözülen TON kimlikleri olarak operatör uç noktalarının mevcut olması nedeniyle tasarımın geleneksel etki alanı kaldırma işlemlerini büyük ölçüde etkisiz hale getirdiğini söyledi. Ağ ucunda trafik, diğer TON özellikli uygulamaların çıktılarından ayırt edilemez görünüyor.

Açık Ağ, orijinal olarak Telegram için oluşturulmuş, meşru, merkezi olmayan bir platformdur ve ThreatFabric, bunun TrickMo operatörleri tarafından kullanılmasının, TON projesinin herhangi bir müdahalesinden ziyade üçüncü bir tarafın suiistimalini yansıttığını vurguladı.

Nasıl Önlem Alınmalı?

Cihazlar Programlanabilir Ağ Pivotları Olarak Yeniden Düzenleniyor

Bu varyant aynı zamanda virüs bulaşmış telefonları programlanabilir pivotlara dönüştüren, ağ üzerinden çalışan bir alt sistem de sunuyor.

Beş operatör komutu, cihazın görüş noktasından curl, dnslookup, ping, telnet ve traceroute temellerini çalıştırarak operatöre, cihazın bağlı olduğu herhangi bir kurumsal veya ev ağı içinde keşif için kabuk eşdeğeri sağlar.

Sonuç ve Değerlendirme

Benzer Android truva atları hakkında daha fazlasını okuyun: Mirax Android Truva Atı, Cihazları Yerleşik Proxy Düğümlerine Dönüştürüyor

İkinci bir komut kümesi, yerleşik bir SSH istemcisi ve kullanıcı adı ve parola kimlik doğrulamasıyla cihazdaki SOCKS5 proxy aracılığıyla soket düzeyinde tünelleme sağlar.

Birbirine zincirlenen ThreatFabric, sonucun, kurbanın cihazında, giden trafiğin kurbanın IP'sinden geliyormuş gibi görünen, kimliği doğrulanmış, programlanabilir bir ağ çıkışı olduğunu ve IP tabanlı dolandırıcılık tespitini yendiğini söyledi.

Varyant ayrıca tam NFC izinlerini bildirir ve Pine hooking çerçevesini bir araya getirir, ancak mevcut kodda hiçbiri uygulanmaz. ThreatFabric, her ikisini de daha sonra çalışma zamanı teslimi için ana bilgisayarda sağlanan ayrılmış yetenekler olarak değerlendirdi.

Paylaş: