Исследователи компании ThreatFabric зафиксировали новый вариант Android-трояна TrickMo, который использует децентрализованную сеть The Open Network (TON) для управления заражёнными устройствами. Вариант, обозначенный как TrickMo C, наблюдался в январе–феврале 2026 года и, по данным исследователей, нацелен на пользователей банковских приложений и криптовалютных кошельков во Франции, Италии и Австрии. Принципиальное отличие от предыдущих версий — трансформация из классического банковского трояна в инструмент для создания управляемых сетевых плацдармов: заражённые устройства превращаются в прокси-узлы и точки выхода трафика.

Архитектурный сдвиг: TON как канал управления

TrickMo — семейство вредоносного ПО класса Device Takeover (DTO), активное с конца 2019 года. Троян злоупотребляет сервисами специальных возможностей Android для перехвата одноразовых паролей, кражи учётных данных, записи экрана, перехвата SMS и полного удалённого управления устройством.

Ключевое нововведение варианта TrickMo C — переход на децентрализованный блокчейн TON для командно-контрольных (C2) коммуникаций. По данным ThreatFabric, вредоносное ПО содержит встроенный нативный TON-прокси, который запускается на локальном loopback-порту при старте процесса. HTTP-клиент трояна маршрутизирует все исходящие C2-запросы через этот прокси, обращаясь к хостам в зоне .adnl, которые разрешаются через оверлейную сеть TON.

Такая архитектура, как отмечают исследователи, снижает эффективность традиционных методов блокировки и ликвидации инфраструктуры, поскольку трафик смешивается с легитимной активностью в сети TON. В отличие от стандартных C2-серверов на публичных доменах или IP-адресах, .adnl-эндпоинты не могут быть заблокированы через DNS-фильтрацию или конфискацию доменов.

Новые сетевые возможности

Предыдущие версии TrickMo использовали динамически загружаемый модуль dex.module для реализации удалённого управления через канал на базе socket.io. Обновлённый вариант сохраняет этот модуль, но дополняет его сетевой подсистемой с принципиально иными функциями:

• Разведка сети — поддержка команд curl, dnslookup, ping, telnet и traceroute, предоставляющих атакующему эквивалент удалённой оболочки для исследования сети жертвы, включая внутренние корпоративные и домашние сети
• SSH-туннелирование — возможность создания зашифрованных туннелей через заражённое устройство
• Аутентифицированный SOCKS5-прокси — превращение скомпрометированного смартфона в узел выхода трафика, через который злоумышленники могут маршрутизировать вредоносные запросы

Функция SOCKS5-прокси заслуживает особого внимания. Когда мошеннические транзакции или попытки входа в аккаунты осуществляются через IP-адрес самой жертвы, системы обнаружения мошенничества, основанные на анализе IP-адресов, теряют эффективность. Для банка или криптовалютной биржи запрос выглядит как исходящий из привычной сети пользователя.

Распространение и маскировка

TrickMo C распространяется через фишинговые сайты и приложения-дропперы. По данным ThreatFabric, дропперы маскируются под «взрослые» версии TikTok, а сам троян имитирует Google Play Services. Идентифицированные имена пакетов:

• Дропперы: com.app16330.core20461, com.app15318.core1173
• Троян: uncle.collop416.wifekin78, nibong.lida531.butler836

Образец дроппера доступен на VirusTotal (SHA-256: 01889a9ec2abecb73e5e8792be68a4e3bc7dcbe1c3f19ac06763682d63aa8c21).

Неактивные модули: сигнал о будущем развитии

Исследователи обнаружили в коде два неактивных компонента: интеграцию с фреймворком перехвата Pine и объявление расширенных разрешений для работы с NFC. Ни один из них пока не реализован функционально. Это может указывать на планы разработчиков по расширению возможностей трояна — в частности, потенциальный перехват NFC-транзакций для атак на бесконтактные платежи. Однако это лишь аналитическое предположение, а не подтверждённый факт.

Оценка воздействия

Эволюция TrickMo отражает тенденцию, при которой мобильные банковские трояны выходят за рамки кражи учётных данных и становятся инструментами для построения сетевой инфраструктуры. Заражённое устройство в корпоративной Wi-Fi-сети превращается в точку входа для разведки внутренней инфраструктуры. Устройство в домашней сети — в анонимизирующий прокси для мошеннических операций.

Наибольшему риску подвержены:

• Пользователи Android-устройств во Франции, Италии и Австрии, использующие банковские приложения и криптовалютные кошельки
• Организации, допускающие подключение личных мобильных устройств к корпоративным сетям (BYOD)
• Криптовалютные биржи и платёжные сервисы, полагающиеся на IP-репутацию как фактор обнаружения мошенничества

Рекомендации по защите

• Установка приложений только из официальных источников — Google Play Store. Не загружайте APK-файлы со сторонних сайтов, особенно предлагающие «модифицированные» версии популярных приложений
• Проверка разрешений — если приложение, выдающее себя за Google Play Services, запрашивает доступ к специальным возможностям (Accessibility Services), это признак компрометации
• Мониторинг сетевого трафика — аномальный исходящий трафик к .adnl-эндпоинтам или нехарактерная активность TON-протокола на мобильных устройствах должны расцениваться как индикатор заражения
• Сегментация сетей — изолируйте мобильные устройства от критических сегментов корпоративной инфраструктуры. Политики BYOD должны учитывать риск использования устройства как сетевого плацдарма
• Многофакторная аутентификация — используйте аппаратные токены или приложения-аутентификаторы вместо SMS-кодов, которые TrickMo способен перехватывать
• Проверка IOC — сверьте указанные выше хеши и имена пакетов с журналами MDM-систем и средств защиты конечных точек

Переход TrickMo на блокчейн-инфраструктуру для C2-коммуникаций и трансформация заражённых устройств в сетевые прокси — это качественное усложнение угрозы, требующее пересмотра подходов к обнаружению. Организациям, допускающим мобильные устройства в корпоративные сети, следует немедленно проверить наличие указанных индикаторов компрометации и убедиться, что политики сегментации исключают возможность использования смартфона как точки входа для разведки внутренней инфраструктуры.