Các nhà nghiên cứu an ninh mạng đã cảnh báo về một phiên bản mới của Trojan ngân hàng TrickMo trên Android, sử dụng mạng phi tập trung The Open Network (TON) cho hệ thống lệnh và điều khiển (C2).
Biến thể mới, được ThreatFabric ghi nhận trong khoảng thời gian từ tháng 1 đến tháng 2 năm 2026, đã được quan sát thấy đang tích cực nhắm mục tiêu vào người dùng ứng dụng ngân hàng và ví tiền điện tử tại Pháp, Ý và Áo.
"TrickMo dựa trên một tệp APK được tải trong thời gian thực (dex.module), cũng được sử dụng bởi biến thể trước đó, nhưng đã được cập nhật các tính năng mới bổ sung chức năng định hướng mạng, bao gồm trinh sát, SSH tunnelling và khả năng SOCKS5 proxying, cho phép các thiết bị bị nhiễm hoạt động như các programmable network pivots và traffic-exit nodes," công ty an ninh di động Hà Lan cho biết trong một báo cáo chia sẻ với The Hacker News.
TrickMo là tên được đặt cho một loại mã độc device takeover (DTO) đã hoạt động từ cuối năm 2019. Nó lần đầu tiên được cảnh báo bởi CERT-Bund và IBM X-Force, mô tả khả năng lạm dụng Android accessibility services để đánh cắp mã OTP (mật khẩu dùng một lần).
Nó cũng được trang bị hàng loạt tính năng để phish thông tin đăng nhập, log keystrokes, quay màn hình, hỗ trợ live screen streaming, chặn tin nhắn SMS, về cơ bản là cấp cho kẻ vận hành toàn quyền điều khiển thiết bị từ xa.
Các phiên bản mới nhất, được gắn nhãn là TrickMo C, được phân phối qua các trang web lừa đảo và các ứng dụng dropper. Các ứng dụng dropper này đóng vai trò là ống dẫn cho một APK được tải động ("dex.module") được lấy từ hạ tầng do kẻ tấn công kiểm soát trong quá trình chạy. Một sự thay đổi đáng chú ý trong kiến trúc là việc sử dụng blockchain phi tập trung TON để liên lạc C2 một cách lén lút.
"TrickMo mang theo một native TON proxy tích hợp mà tệp APK máy chủ sẽ khởi động trên một cổng loopback khi bắt đầu quy trình," ThreatFabric cho biết. "HTTP client của bot được kết nối qua proxy đó, vì vậy mọi yêu cầu lệnh và điều khiển đi ra đều được gửi đến một hostname .adnl và được phân giải thông qua mạng TON."
Các ứng dụng dropper chứa mã độc thường giả mạo là các phiên bản dành cho người lớn của TikTok, trong khi mã độc thực tế lại mạo danh Google Play Services -
- com.app16330.core20461 hoặc com.app15318.core1173 (Dropper)
- uncle.collop416.wifekin78 hoặc nibong.lida531.butler836 (TrickMo)
Trong khi các phiên bản "dex.module" trước đây triển khai chức năng điều khiển từ xa dựa trên accessibility thông qua một kênh dựa trên socket.io, phiên bản mới sử dụng một hệ thống con vận hành mạng biến mã độc này thành một công cụ duy trì chỗ đứng (managed foothold) hơn là một Trojan ngân hàng truyền thống.
Hệ thống con này hỗ trợ các lệnh như curl, dnslookup, ping, telnet và traceroute, cung cấp cho kẻ tấn công một "remote shell tương đương để trinh sát mạng từ vị trí của nạn nhân, bao gồm bất kỳ mạng nội bộ doanh nghiệp hoặc mạng gia đình nào mà thiết bị hiện đang kết nối," theo ThreatFabric.
Một tính năng quan trọng khác là SOCKS5 proxy biến thiết bị bị xâm nhập thành một network exit node điều hướng lưu lượng truy cập độc hại, đồng thời vượt qua các chữ ký phát hiện gian lận dựa trên IP trên các dịch vụ ngân hàng, thương mại điện tử và sàn giao dịch tiền điện tử.
Hơn nữa, TrickMo bao gồm hai tính năng đang ở trạng thái ngủ (dormant) tích hợp Pine hooking framework và khai báo các quyền NFC mở rộng. Tuy nhiên, chưa có tính năng nào được triển khai thực tế, cho thấy các nhà phát triển cốt lõi đang tìm cách mở rộng khả năng của Trojan trong tương lai.
"Thay vì dựa vào DNS truyền thống và hạ tầng internet công cộng, mã độc liên lạc qua các endpoint .adnl được định tuyến qua một local TON proxy tích hợp, làm giảm hiệu quả của các nỗ lực takedown và chặn mạng truyền thống, đồng thời khiến lưu lượng truy cập hòa lẫn với hoạt động TON hợp pháp," ThreatFabric cho biết.
"Biến thể mới nhất này cũng mở rộng vai trò hoạt động của các thiết bị bị nhiễm thông qua SSH tunnelling và SOCKS5 proxying có xác thực, biến điện thoại bị xâm nhập thành các programmable network pivots và traffic-exit nodes có kết nối bắt nguồn từ chính môi trường mạng của nạn nhân."
