Android bankacılık truva atı TrickMo'nun yeni bir varyantı, birincil komuta-kontrol (C2) trafiğini The Open Network (TON) Blockchain üzerine taşıdı. ThreatFabric tarafından tespit edilen ve TrickMo C olarak adlandırılan bu varyant, Ocak ve Şubat 2026 arasında Fransa, İtalya ve Avusturya'daki bankacılık ve cüzdan kullanıcılarını hedef alan aktif kampanyalarda kullanıldı. Yeni varyant, operatör kampanyalarında önceki sürümlerin yerini alırken, Facebook reklamları aracılığıyla TikTok temalı tuzaklar yayıldı.
TrickMo, Android'in erişilebilirlik hizmetini kötüye kullanarak operatörlere ele geçirilen cihaz üzerinde gerçek zamanlı etkileşimli bir görünüm sağlayan bir cihaz ele geçirme trojanıdır. Yetenekleri arasında WebView üst katmanları aracılığıyla kimlik avı, tuş kaydı, ekran akışı, tam çift yönlü uzaktan kontrol ve tek kullanımlık şifre (OTP) bildirimlerinin sessizce bastırılması yer alıyor. En büyük değişiklik ise ağ katmanında: APK, işlem başlatıldığında bir loopback bağlantı noktasında gömülü bir yerel TON proxy'si başlatıyor ve botun HTTP istemcisini bu proxy üzerinden yönlendiriyor, böylece her C2 isteği bir .adnl ana bilgisayar adresine yönlendirilip TON ağı içinde çözümleniyor.
Araştırmacılar, bu tasarımın geleneksel alan adı kapatma yöntemlerini büyük ölçüde etkisiz kıldığını belirtiyor. Operatör uç noktaları, merkeziyetsiz ağ içinde çözümlenen TON kimlikleri olarak varlık gösteriyor. Ağ ucu trafiği, diğer TON etkin uygulamaların çıktılarından ayırt edilemez hale geliyor. Ayrıca varyant, ele geçirilen cihazları programlanabilir ağ çıkış noktalarına dönüştüren bir ağ işletim alt sistemi sunuyor. Beş operatör komutu (curl, dnslookup, ping, telnet, traceroute) cihaz üzerinden çalıştırılarak, operatörün cihazın bağlı olduğu ağda keşif yapmasına olanak tanıyor.
Önemli Gelişmeler
İkinci bir komut seti, gömülü bir SSH istemcisi ve kimlik doğrulamalı SOCKS5 proxy üzerinden soket düzeyinde tünel sağlıyor. Bu sayede operatör, kurbanın cihazından çıkan trafiğin kurbanın IP'sinden geliyormuş gibi görünmesini sağlayarak IP tabanlı dolandırıcılık tespitini atlatabiliyor. Varyant ayrıca tam NFC izinleri ve Pine hooking çerçevesini içerse de, şu an için bu özellikler kullanılmıyor. ThreatFabric, bunların ileride çalışma zamanında teslim edilmek üzere ayrılmış yetenekler olduğunu değerlendiriyor.