Uma nova versão do perigoso malware bancário TrickMo para Android começou a focar-se em utilizadores de vários países europeus. Esta variante introduz comandos inéditos e recorre à The Open Network (TON) para ocultar as suas comunicações com os servidores de comando e controlo, tornando a sua deteção num autêntico desafio para os investigadores.
Identificada originalmente em setembro de 2019, esta ameaça tem mantido um desenvolvimento contínuo ao longo dos anos. De acordo com os dados revelados pela ThreatFabric, que classifica esta versão como "Trickmo.C", a análise mais recente foca-se numa atividade que tem vindo a ser monitorizada desde o arranque de janeiro. O malware disfarça-se de aplicações populares, como o TikTok ou plataformas de streaming, com o objetivo de comprometer contas bancárias e carteiras de criptomoedas, especialmente em França, Itália e Áustria.
O Escudo Descentralizado da Rede TON
A grande novidade desta variante reside na forma como comunica com os criminosos. Ao utilizar endereços .ADNL encaminhados através de um proxy TON local embutido no equipamento infetado, o malware abandona a dependência de servidores expostos na internet pública.
Originalmente desenvolvida em torno do ecossistema do Telegram, a TON consiste numa rede peer-to-peer descentralizada. Em vez de recorrer a domínios tradicionais, utiliza um identificador de 256 bits que esconde o endereço IP e a porta de comunicação.
Conforme detalhado pelos especialistas, as táticas habituais de bloqueio de domínios tornam-se ineficazes, uma vez que a infraestrutura não depende da hierarquia pública de DNS. Para os sistemas de segurança de rede, o fluxo de dados surge apenas como tráfego TON encriptado, sendo impossível distingui-lo de qualquer outra aplicação legítima que utilize a mesma tecnologia.
Evolução de Comandos e Novas Ameaças
O TrickMo mantém a sua estrutura modular dividida em duas fases: um ficheiro APK inicial que atua como carregador e garante a persistência no sistema, seguido por um segundo módulo descarregado posteriormente para executar os ataques. As suas capacidades clássicas incluem a interceção de SMS, roubo de credenciais através de ecrãs falsos, registo de teclas, gravação e transmissão do ecrã em tempo real, manipulação da área de transferência e captura de ecrãs.
No entanto, o novo relatório destaca a integração de ferramentas avançadas na lista de comandos, tais como:
Execução de ping, traceroute e telnet
Pesquisas de DNS e utilização de curl
Criação de túneis SSH
Encaminhamento de portas locais e remotas
Suporte para proxy SOCKS5 com autenticação
Os investigadores detetaram ainda a presença da estrutura Pine, habitualmente utilizada para intercetar operações de rede, embora se encontre inativa nesta versão. Adicionalmente, o código do malware solicita permissões alargadas para a tecnologia NFC, sugerindo que futuras atualizações poderão tentar explorar pagamentos por aproximação, mesmo que essa função não esteja a ser ativamente utilizada no momento.
Para manter a segurança em dia, é recomendada a transferência de software exclusivamente através da Google Play Store, a verificação constante do Android Play Protect e a redução do número de aplicações instaladas no telemóvel, dando sempre prioridade a programadores de confiança.
Nenhum comentário
Seja o primeiro!