TrickMo Androidバンキングトロイの新しいバリアントが、主なコマンド・アンド・コントロール(C2)トランスポートをThe Open Network(TON)ブロックチェーンに移動させ、分散型オーバーレイの.adnl識別子を通じて通信をルーティングし、従来のドメインテイクダウンをほぼ無効化しました。
ThreatFabricによって特定され、TrickMo Cとラベル付けされたこのバリアントは、フランス、イタリア、オーストリアの銀行およびウォレットユーザーに対する積極的なキャンペーンで、2026年1月から2月の間に追跡されました。これは同社のモバイル脅威インテリジェンスチームからの新しい分析によるものです。
テレメトリーによると、このバリアントはオペレーターキャンペーン全体で段階的に前身を置き換えており、TikTokをテーマにした誘い文句がFacebook広告を介して流通していました。
TrickMoはデバイステイクオーバートロイであり、Androidのアクセシビリティサービスを悪用してオペレーターに侵害されたハンドセットのリアルタイムインタラクティブビューを提供します。
その機能には、WebViewオーバーレイによる認証情報フィッシング、キーロギング、スクリーンストリーミング、完全な双方向リモートコントロール、およびワンタイムパスワード(OTP)通知のサイレント抑制が含まれます。
TON上に構築された分散型C2
このバリアントの最大の変更は、ネットワークレイヤーです。ThreatFabricによると、ホストAPKはプロセス起動時にループバックポートで埋め込まれたネイティブTONプロキシを開始し、ボットのHTTPクライアントをそれを通じてワイヤリングするため、すべてのC2要求は.adnlホスト名にアドレス指定され、パブリックDNSではなくTONオーバーレイ内で解決されます。
ボットが依然として実行する少数のクリアネットルックアップはパブリックDNS-over-HTTPSエンドポイント経由でルーティングされるため、それらのクエリーでもデバイスのローカルリゾルバーに到達しません。
研究者らは、オペレーターエンドポイントが分散ネットワーク内で解決されるTON識別子として存在するため、このデザインは従来のドメインテイクダウンをほぼ無効にすると述べています。ネットワークエッジでは、トラフィックは他のTON対応アプリケーションの出力と区別がつかないように見えます。
The Open Networkは、もともとテレグラムのために構築された正規の分散プラットフォームであり、ThreatFabricはTrickMoのオペレーターによる使用がTONプロジェクトの関与ではなく、第三者による悪用を反映していることを強調しました。
プログラム可能なネットワークピボットとして再キャストされたデバイス
このバリアントは、感染したハンドセットをプログラム可能なピボットに変える、ネットワークオペレーティブサブシステムも導入しています。
5つのオペレーターコマンドは、デバイスの有利なポイントからcurl、dnslookup、ping、telnet、およびtracerouteプリミティブを実行し、オペレーターにハンドセットが接続されているあらゆる企業またはホームネットワーク内での偵察用のシェル相当を提供します。
同様のAndroidトロイについて詳細をご覧ください:Mirax Android Trojanがデバイスを住宅用プロキシノードに変える
2番目のコマンドセットは、埋め込まれたSSHクライアントおよびユーザー名とパスワード認証を使用したオンデバイスSOCKS5プロキシを通じてソケットレベルのトンネリングを提供します。
ThreatFabricによると、これらを連鎖させた結果、被害者のデバイス上の認証済みプログラム可能なネットワーク出口が得られ、その発信トラフィックは被害者のIPから発信されているように見え、IPベースの不正検出を回避します。
このバリアントは、完全なNFC権限を宣言し、Pineフッキングフレームワークをバンドルしていますが、現在のコードではどちらも実行されていません。ThreatFabricはどちらも予約済みの機能として評価し、後でランタイム配信のためにホストに提供されています。
翻訳元: https://www.infosecurity-magazine.com/news/trickmo-c-ton-network-android/
