TrickMo C: Neuer Android-Banking-Trojaner baut Proxy-Netz ueber TON

Foto des Autors

CyberSecureFox Editorial Team

Forscher des Unternehmens ThreatFabric haben eine neue Variante des Android-Trojaners TrickMo beobachtet, die das dezentrale Netzwerk The Open Network (TON) zur Steuerung infizierter Geraete nutzt. Die Variante mit der Bezeichnung TrickMo C wurde im Zeitraum Januar bis Februar 2026 registriert und zielt nach Angaben der Forscher auf Nutzer von Banking-Apps und Kryptowallets in Frankreich, Italien und Oesterreich ab. Der grundlegende Unterschied zu frueheren Versionen liegt in der Transformation von einem klassischen Banking-Trojaner zu einem Werkzeug zum Aufbau kontrollierter Netzwerkplaetze: Infizierte Geraete werden in Proxy-Knoten und Traffic-Ausgangspunkte verwandelt.

Architektureller Wandel: TON als Steuerungskanal

TrickMo ist eine Familie von Malware der Klasse Device Takeover (DTO), die seit Ende 2019 aktiv ist. Der Trojaner missbraucht die Android Accessibility Services, um Einmalpasswoerter abzufangen, Zugangsdaten zu stehlen, den Bildschirm aufzuzeichnen, SMS zu ueberwachen und eine vollstaendige Fernsteuerung des Geraets zu ermoeglichen.

Die zentrale Neuerung der Variante TrickMo C ist der Umstieg auf die dezentrale TON-Blockchain fuer Command-and-Control-(C2)-Kommunikation. Laut ThreatFabric enthaelt die Malware einen integrierten nativen TON-Proxy, der beim Start des Prozesses auf einem lokalen Loopback-Port aktiviert wird. Der HTTP-Client des Trojaners leitet saemtliche ausgehenden C2-Anfragen ueber diesen Proxy und adressiert dabei Hosts in der Zone .adnl, die ueber das Overlay-Netzwerk von TON aufgeloest werden.

Eine solche Architektur reduziert nach Aussage der Forscher die Wirksamkeit klassischer Methoden zur Blockierung und Beseitigung der Infrastruktur, da sich der Schadtraffic mit legitimen Aktivitaeten im TON-Netz vermischt. Anders als herkoemmliche C2-Server auf oeffentlichen Domains oder IP-Adressen koennen .adnl-Endpunkte weder durch DNS-Filterung blockiert noch durch die Beschlagnahmung von Domains ausser Betrieb gesetzt werden.

Neue Netzwerkfunktionen

Fruehere Versionen von TrickMo verwendeten ein dynamisch nachladbares Modul dex.module, um Remote-Steuerung ueber einen auf socket.io basierenden Kanal zu realisieren. Die aktualisierte Variante behaelt dieses Modul bei, ergaenzt es jedoch um eine Netzwerkschicht mit grundlegend anderen Funktionen:

  • Netzwerkaufklaerung – Unterstuetzung der Kommandos curl, dnslookup, ping, telnet und traceroute, die dem Angreifer ein Aequivalent zu einer entfernten Shell zur Erkundung des Netzwerks des Opfers bereitstellen, einschliesslich interner Unternehmens- und Heimnetze
  • SSH-Tunneling – Moeglichkeit, verschluesselte Tunnel ueber das infizierte Geraet aufzubauen
  • Authentifizierter SOCKS5-Proxy – Umwandlung des kompromittierten Smartphones in einen Traffic-Ausgangsknoten, ueber den Angreifer schaedliche Anfragen routen koennen

Die SOCKS5-Proxy-Funktion ist dabei besonders bemerkenswert. Erfolgen betruegerische Transaktionen oder Login-Versuche ueber die IP-Adresse des Opfers selbst, verlieren Betrugserkennungssysteme, die auf der Analyse von IP-Adressen beruhen, einen wesentlichen Teil ihrer Wirksamkeit. Fuer eine Bank oder Kryptoboerse sieht die Anfrage so aus, als stamme sie aus dem gewohnten Netzwerk des Nutzers.

Verbreitung und Tarnung

TrickMo C verbreitet sich ueber Phishing-Webseiten und App-Dropper. Nach Angaben von ThreatFabric tarnen sich die Dropper als „Erwachsenen“-Versionen von TikTok, waehrend sich der Trojaner selbst als Google Play Services ausgibt. Identifizierte Paketnamen:

  • Dropper: com.app16330.core20461, com.app15318.core1173
  • Trojaner: uncle.collop416.wifekin78, nibong.lida531.butler836

Ein Dropper-Sample ist auf VirusTotal verfuegbar (SHA-256: 01889a9ec2abecb73e5e8792be68a4e3bc7dcbe1c3f19ac06763682d63aa8c21).

Inaktive Module: Hinweis auf künftige Entwicklungen

Die Forscher entdeckten im Code zwei inaktive Komponenten: eine Integration mit dem Abfang-Framework Pine sowie die Deklaration erweiterter Berechtigungen fuer die Arbeit mit NFC. Keines dieser Elemente ist bislang funktional umgesetzt. Dies koennte auf Plaene der Entwickler hindeuten, die Faehigkeiten des Trojaners auszuweiten – insbesondere in Richtung des moeglichen Abfangens von NFC-Transaktionen, um kontaktlose Zahlungen anzugreifen. Dabei handelt es sich jedoch lediglich um eine analytische Einschaetzung und nicht um einen bestaetigten Fakt.

Bewertung der Auswirkungen

Die Evolution von TrickMo spiegelt einen Trend wider, bei dem mobile Banking-Trojaner ueber das blosse Stehlen von Zugangsdaten hinausgehen und zu Werkzeugen fuer den Aufbau von Netzwerkinfrastrukturen werden. Ein infiziertes Geraet in einem Unternehmens-WLAN verwandelt sich in einen Einstiegspunkt fuer die Aufklaerung der internen Infrastruktur. Ein Geraet im Heimnetz fungiert als anonymisierender Proxy fuer betruegerische Operationen.

Am staerksten gefaehrdet sind:

  • Android-Nutzer in Frankreich, Italien und Oesterreich, die Banking-Apps und Kryptowallets verwenden
  • Organisationen, die den Anschluss privater Mobilgeraete an Unternehmensnetze (BYOD) zulassen
  • Kryptoboersen und Zahlungsdienste, die IP-Reputation als Faktor zur Betrugserkennung einsetzen

Empfehlungen zum Schutz

  • Installation von Apps nur aus offiziellen Quellen – Google Play Store. Laden Sie keine APK-Dateien von Drittseiten herunter, insbesondere nicht „modifizierte“ Versionen populaerer Apps
  • Pruefung der Berechtigungen – wenn sich eine App als Google Play Services ausgibt und Zugriff auf Accessibility Services verlangt, ist dies ein Hinweis auf eine Kompromittierung
  • Ueberwachung des Netzwerktraffics – ungewoehnlicher ausgehender Traffic zu .adnl-Endpunkten oder ungewoehnliche TON-Protokollaktivitaet auf Mobilgeraeten sollte als Indikator einer Infektion gewertet werden
  • Netzsegmentierung – isolieren Sie Mobilgeraete von kritischen Segmenten der Unternehmensinfrastruktur. BYOD-Richtlinien sollten das Risiko beruecksichtigen, dass ein Geraet als Netzwerkbrueckenkopf missbraucht wird
  • Multi-Faktor-Authentifizierung – verwenden Sie Hardware-Token oder Authenticator-Apps anstelle von SMS-Codes, die TrickMo abfangen kann
  • Pruefung von IOC – gleichen Sie die oben genannten Hashes und Paketnamen mit den Logs Ihrer MDM-Systeme und Endpoint-Schutzloesungen ab

Der Umstieg von TrickMo auf eine Blockchain-Infrastruktur fuer C2-Kommunikation und die Umwandlung infizierter Geraete in Netzwerk-Proxys stellen eine qualitative Verschraenkung der Bedrohung dar, die eine Neubewertung der Erkennungsansaetze erfordert. Organisationen, die Mobilgeraete in ihre Unternehmensnetze einbinden, sollten unverzueglich auf die genannten Indikatoren einer Kompromittierung pruefen und sicherstellen, dass Segmentierungsrichtlinien verhindern, dass Smartphones als Einstiegspunkt fuer die Aufklaerung der internen Infrastruktur genutzt werden koennen.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen