- ThreatFabricがヨーロッパのAndroidユーザーを対象とした新しいTrickMo.C亜種を発見
- TikTok/ストリーミングアプリに変装し、認証情報を盗み、SMSを傍受し、OTPを抑制し、ライブ監視を有効にします
- 被害者はほとんどフランス、イタリア、オーストリアに位置しています
ヨーロッパ全域のAndroidユーザーが10年前のバンキングトロイの木馬の新しい亜種の標的になっていることが研究者によって明らかにされました。
ThreatFabricは2026年1月以来、TrickMo.Cと呼ばれるバンキングトロイの木馬をどのように追跡しているかを説明しました。
TrickMoは2019年9月に初めて発見されたAndroidバンキングトロイの木馬ですが、それ以来、積極的に開発されており、絶えず更新と新しい機能を受け取っています。2024年までに、40以上のTrickMo亜種が存在しており、12以上のドロッパーを通じて配信され、22個の独立したコマンドアンドコントロール(C2)インフラストラクチャと通信していました。
フランス人、イタリア人、オーストリア人から秘密を抽出
この最新バージョンはTikTokとストリーミングアプリに変装しています。正確な展開メカニズムは不明ですが、犯罪者がサードパーティのアプリリポジトリ、Telegram、ソーシャルメディアチャネル、およびフィッシングとSEOポイズニングを通じてそれを宣伝していると安全に想定できます。
ターゲットデバイスにインストールされると、TrickMo.Cはログイン認証情報やその他の貴重な秘密を収集できるフィッシングオーバーレイを作成します。また、キー、タップ、ストロークをログし、画面を記録し、コンテンツを攻撃者に直接ライブストリーミングし、SMSメッセージを傍受できます。OTP通知を抑制し、ユーザーのクリップボードを変更し、通知をフィルタリングし、スクリーンショットを送信できます。
これすべてにより、攻撃者は認証情報を盗み、人々の銀行口座と暗号ウォレットにログインし、支払いと送金を行うことができます。被害者は完全に暗いままです。被害者はほとんどフランス、イタリア、オーストリアに位置していると言われています。
TrickMo.Cが以前のバージョンと比較して際立っている理由は、TON(Telegramエコシステムの周りで開発された分散型ピアツーピアネットワーク)を通じてオペレーターと通信することです。公開されているサーバーを使用する代わりに、ユーザーは暗号化されたオーバーレイネットワークを通じてウェブと通信します。
オペレーターは、感染したエンドポイントで実行される埋め込みローカルTONプロキシを通じてルーティングされるADNLアドレスを使用します。
