Новый вариант банковского трояна TrickMo для Android переносит командные каналы в децентрализованную сеть TON

remote access Trojan

В начале 2026 года специалисты по мобильной безопасности зафиксировали активное распространение очередной версии известного банковского трояна TrickMo, нацеленного на устройства под управлением Android. Эта модификация, получившая обозначение "вариант C", не предлагает принципиально новых возможностей для кражи данных или управления заражённым устройством. Вместо этого разработчики вредоносной программы провели глубокую перестройку платформы, сделав упор на скрытность, устойчивость к блокировкам и операционную гибкость.

Описание

Жертвами кампаний, как сообщается, стали пользователи банковских приложений и криптовалютных кошельков во Франции, Италии и Австрии. По данным телеметрии, новая версия постепенно вытесняет предшественника в активных операциях злоумышленников. Главное архитектурное изменение - перенос основного канала управления и контроля (C2) на децентрализованную сеть The Open Network (TON). Ранее TrickMo использовал традиционные интернет-протоколы и DNS-инфраструктуру, что позволяло при обнаружении блокировать домены или IP-адреса командных серверов. Теперь же бот общается с операторами через адреса .adnl - специальные идентификаторы внутри сети TON, которые маршрутизируются через встроенный в приложение локальный прокси-клиент TON. Это делает традиционные методы отключения командных узлов малоэффективными. Более того, трафик вредоносной программы теперь неотличим от легитимной активности других приложений, использующих TON.

При этом для работы с редкими адресами из обычного интернета (clearnet) TrickMo заменяет штатный DNS-резольвер устройства на публичный DNS через зашифрованный протокол DNS-over-HTTPS. Таким образом, даже эти запросы не попадают в локальный решатель, что дополнительно затрудняет выявление аномалий на сетевом периметре.

В [отчёте] исследовательской группы, занимающейся мобильными угрозами, подробно описывается внутреннее устройство нового варианта. Сам APK-файл выполняет лишь роль загрузчика и обеспечивает закрепление в системе. Основная вредоносная функциональность доставляется отдельно в виде динамически загружаемого модуля dex.module, который подгружается во время работы. Этот модуль содержит ядро удалённого управления доступностью (accessibility service) и взаимодействует с оператором через канал на основе socket.io.

Самое примечательное нововведение - расширение возможностей сетевой разведки и туннелирования. Теперь оператор может отправлять на заражённое устройство команды, выполняющие настоящие сетевые утилиты из командной строки Android: curl для произвольных HTTP-запросов, dnslookup (через системный резольвер, а не через DoH), ping, telnet и traceroute. Это позволяет злоумышленнику изучать внутреннюю сеть, к которой подключён смартфон - будь то корпоративный сегмент или домашняя локальная сеть.

Ещё важнее - появление трёх команд для организации туннелей на основе встроенного SSH-клиента. Если оператор открывает локальный туннель, то порт на устройстве перенаправляется на сервер злоумышленника. Если же используется удалённый туннель (remote-forward), то на сервере оператора создаётся порт, подключение к которому приводит в локальную сеть жертвы. Таким образом, заражённый телефон становится точкой входа во внутреннюю инфраструктуру. Параллельно на устройстве запускается SOCKS5-прокси с аутентификацией по логину и паролю, который позволяет направлять трафик через этот прокси-сервер. Комбинация удалённого туннеля с SOCKS5 даёт оператору возможность выходить в интернет с IP-адреса жертвы, обходя системы антифрода банков, онлайн-магазинов и криптовалютных бирж.

Любопытно, что в новой версии сохранились элементы, которые пока не используются. Например, фреймворк для перехвата вызовов Pine по-прежнему загружен и инициализируется при старте, но ни один хук не установлен. Ранее этот же фреймворк применялся для модификации сетевых запросов и взаимодействия с Firebase Cloud Messaging. Теперь он как бы "спит" - готов к активации по команде из будущих обновлений модуля. Аналогично с NFC: манифест содержит полный набор разрешений для работы с бесконтактными платежами, а само устройство сообщает о поддержке NFC и эмуляции карт, однако работающего кода для этого в обеих стадиях вредоносной программы не найдено. Такая практика характерна для операторов, подготавливающих платформу к будущим сценариям атак.

С точки зрения экспертов, TrickMo C - это не новый тип угрозы, а продуманный апгрейд существующей. Разработчики отказываются от методов, ставших уязвимыми перед современными защитными механизмами, и переходят на более скрытные и трудно блокируемые каналы связи при одновременном расширении боевых возможностей инфицированного устройства. По сути, банковский троян превращается в универсальную платформу для удалённого проникновения и сетевая пешка, которая может быть задействована не только для хищения учётных данных, но и для атак на корпоративные сети через мобильные устройства сотрудников. Учитывая, что предыдущие версии TrickMo активно распространялись через фишинговые SMS и вредоносную рекламу, можно ожидать, что новые кампании продолжат использовать те же векторы, но станут заметно сложнее для обнаружения и реагирования.

Индикаторы компрометации

SHA256

  • 01889a9ec2abecb73e5e8792be68a4e3bc7dcbe1c3f19ac06763682d63aa8c21
  • 143c0e12d2aa1bdecde59f273139dd5605d00f61cda7f626224e07390119c026
  • 177ef86c57c31b29850227dbc8288b735bea977587f2f0a49cfc4089a644a2c4
  • 4cd8635062ff6b0885216a0b1658ebcb2938b670f7ac08ecb0b5fb85d8973ea0
  • 749bbcbc3e5d2d524344d52b6471dfa7b8d3ecdeb0b11ab82c843d497a056c8f
  • e2e218ddf698b4c0099fd2a9619d6912a71f75beb51669a4e3ae4fc71f745d03
Комментарии: 0