Мобильные вредоносные программы редко эволюционируют по-настоящему кардинально. Чаще всего разработчики ограничиваются сменой иконки, добавлением пары новых команд или обфускацией кода. Однако весной 2026 года специалисты по мобильной безопасности столкнулись с принципиально другим случаем. Речь идёт о новом варианте известного Android-трояна TrickMo, который не просто обновил функциональность, а полностью переосмыслил свою архитектуру. Главное изменение - канал управления перенесён из обычного интернета в децентрализованную сеть TON (The Open Network). Вместе с тем вредоносная программа научилась использовать заражённые устройства как полноценные точки выхода в сеть, что делает её привлекательным инструментом не только для кражи данных, но и для проведения сложных многоступенчатых атак.
Описание
Специалисты подчёркивают, что сам по себе TrickMo не является чем-то совершенно новым. Этот банковский троян известен уже несколько лет и специализируется на перехвате управления устройством жертвы (DTO - Device Take Over). После того как пользователь по неосторожности предоставляет приложению доступ к сервису специальных возможностей (Accessibility Service), злоумышленник получает полный контроль над смартфоном. Стандартный арсенал включает кражу учётных данных через поддельные окна входа в банковские приложения, перехват SMS-сообщений и push-уведомлений, а также возможность удалённо управлять экраном и вводить данные. Однако в последней версии, получившей индекс Variant C, разработчики сосредоточились не на расширении видимых возможностей, а на глубинной переработке платформы, направленной на повышение скрытности и устойчивости к блокировкам.
Самый заметный и тревожный шаг - полный уход канала управления (C2, command and control) из публичного интернета. Вместо привычных доменных имён и IP-адресов троян теперь использует ADNL-адресацию внутри сети TON. Для этого на устройстве запускается встроенный TON-прокси, который работает на локальном порту. Все запросы и команды проходят через этот прокси, и оператору не нужно беспокоиться о доменных блокировках: классические методы изъятия доменов или внесения IP-адресов в чёрные списки здесь не работают. Отчёт экспертов, обнаруживших эту активность, прямо указывает, что трафик вредоносной программы на сетевом уровне практически неотличим от обычного трафика других TON-приложений. Единственное, что осталось от "чистого" интернета, - это резолвер DNS-over-HTTPS для нескольких оставшихся внешних запросов, что ещё больше усложняет выявление аномалий на уровне сети.
Помимо смены транспорта, разработчики значительно переработали загрузчик и модульную архитектуру. Как и раньше, основное приложение (host APK) служит лишь надстройкой и обеспечивает закрепление в системе. Основная функциональность поставляется в виде динамически загружаемого модуля dex.module, который троян скачивает с сервера оператора уже в процессе работы. Однако если раньше этот модуль отвечал исключительно за удалённое управление через socket.io, то теперь его функциональность серьёзно расширена. В новом модуле появилась целая подсистема сетевой разведки, включающая команды curl, dnslookup, ping, telnet и traceroute. Это позволяет злоумышленнику изучать внутреннюю сеть организации, к которой подключён заражённый смартфон, а также сканировать домашние маршрутизаторы и прочие устройства в локальной сети.
Однако наибольшую опасность представляет надстройка для туннелирования трафика. Встроенный SSH-клиент позволяет создавать как локальные, так и удалённые туннели. Проще говоря, если устройство находится внутри корпоративной или домашней сети, злоумышленник может получить доступ к этой сети извне, просто подключившись к своему серверу. Ещё более изощрённая техника - включение на заражённом телефоне SOCKS5-прокси с аутентификацией. В результате трафик атакующего или третьей стороны выглядит так, будто он исходит с телефона жертвы. Это позволяет обходить системы защиты от мошенничества, которые анализируют IP-адрес и геолокацию. Банки, платёжные шлюзы и криптобиржи видят запрос с адреса, который принадлежит реальному пользователю, а не анонимному прокси или серверу хакера.
Вредоносная программа также сохранила ряд резервных возможностей, которые пока не задействованы, но явно заложены на перспективу. В коде обнаружен, но не используется фреймворк для перехвата системных вызовов Pine. Ранее, в более старых версиях TrickMo и других троянов (например, Godfather), он применялся для манипуляций с вызовами Firebase Cloud Messaging. Сейчас Pine просто инициализируется, но активных хуков не содержит. Аналогичная ситуация с NFC-модулем: вредоносная программа запрашивает весь спектр разрешений на работу с NFC и сообщает о наличии этой технологии на устройстве, но код, который бы её использовал, в обоих модулях отсутствует. Эксперты полагают, что это сознательный задел: операторы готовят почву для быстрой развёртываемости новых функций, которые будут доставлены через всё тот же механизм динамической загрузки.
География атак остаётся преимущественно европейской. На основании меток кампаний, встроенных в телеметрию каждой копии вредоносной программы, установлено, что жертвами становятся пользователи банковских и кошелёчных приложений во Франции, Италии и Австрии. Для распространения используются традиционные фишинговые схемы через социальные сети, чаще всего под видом приложений TikTok. Например, одна из кампаний так и называется - Tic_Italy_FB, что явно указывает на распространение через Facebook* под видом популярного сервиса коротких видео. При этом заражение начинается с загрузки приложения из сторонних источников, не из официального магазина Google Play, что уже является первым тревожным сигналом для пользователя.
Таким образом, TrickMo C представляет собой не просто очередную версию вредоносной программы, а качественный скачок в подходе к проектированию мобильных угроз. Разработчики сместили фокус с функциональности кражи данных на архитектурную устойчивость и операционную гибкость. Блокировка доменов и IP-адресов больше не работает, поскольку управление ушло в децентрализованную сеть. А возможность использования заражённого телефона как инструмента для атак на третьи ресурсы превращает обычного пользователя в невольного соучастника киберпреступлений. Для специалистов по безопасности это означает необходимость пересмотра методов обнаружения: классические сигнатуры на основе сетевого трафика уступают место поведенческому анализу и проверкам на уровне конечного устройства, где любой необычный системный процесс, работающий с TON-прокси, должен вызывать пристальное внимание.
* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.
Индикаторы компрометации
SHA256
- 01889a9ec2abecb73e5e8792be68a4e3bc7dcbe1c3f19ac06763682d63aa8c21
- 143c0e12d2aa1bdecde59f273139dd5605d00f61cda7f626224e07390119c026
- 177ef86c57c31b29850227dbc8288b735bea977587f2f0a49cfc4089a644a2c4
- 4cd8635062ff6b0885216a0b1658ebcb2938b670f7ac08ecb0b5fb85d8973ea0
- 749bbcbc3e5d2d524344d52b6471dfa7b8d3ecdeb0b11ab82c843d497a056c8f
- e2e218ddf698b4c0099fd2a9619d6912a71f75beb51669a4e3ae4fc71f745d03
