Дослідники компанії ThreatFabric зафіксували новий варіант Android-трояна TrickMo, який використовує децентралізовану мережу The Open Network (TON) для керування зараженими пристроями. Варіант, позначений як TrickMo C, спостерігався у січні–лютому 2026 року і, за даними дослідників, націлений на користувачів банківських застосунків і криптовалютних гаманців у Франції, Італії та Австрії. Принципова відмінність від попередніх версій — трансформація з класичного банківського трояна в інструмент для створення керованих мережевих плацдармів: заражені пристрої перетворюються на проксі-вузли та точки виходу трафіку.

Архітектурний зсув: TON як канал керування

TrickMo — сімейство зловмисного ПЗ класу Device Takeover (DTO), активне з кінця 2019 року. Троян зловживає службами спеціальних можливостей Android для перехоплення одноразових паролів, крадіжки облікових даних, запису екрана, перехоплення SMS і повного віддаленого керування пристроєм.

Ключове нововведення варіанта TrickMo C — перехід на децентралізований блокчейн TON для командно-контрольних (C2) комунікацій. За даними ThreatFabric, зловмисне ПЗ містить вбудований нативний TON-проксі, який запускається на локальному loopback-порті під час старту процесу. HTTP-клієнт трояна маршрутизує всі вихідні C2-запити через цей проксі, звертаючись до хостів у зоні .adnl, які розв’язуються через оверлейну мережу TON.

Така архітектура, як зазначають дослідники, знижує ефективність традиційних методів блокування та ліквідації інфраструктури, оскільки трафік змішується з легітимною активністю в мережі TON. На відміну від стандартних C2-серверів на публічних доменах чи IP-адресах, .adnl-ендпоїнти не можуть бути заблоковані через DNS-фільтрацію або конфіскацію доменів.

Нові мережеві можливості

Попередні версії TrickMo використовували динамічно завантажуваний модуль dex.module для реалізації віддаленого керування через канал на базі socket.io. Оновлений варіант зберігає цей модуль, але доповнює його мережевою підсистемою з принципово іншими функціями:

• Розвідка мережі — підтримка команд curl, dnslookup, ping, telnet і traceroute, які надають зловмиснику еквівалент віддаленої оболонки для дослідження мережі жертви, включно з внутрішніми корпоративними та домашніми мережами
• SSH-тунелювання — можливість створення зашифрованих тунелів через заражений пристрій
• Автентифікований SOCKS5-проксі — перетворення скомпрометованого смартфона на вузол виходу трафіку, через який зловмисники можуть маршрутизувати шкідливі запити

Функція SOCKS5-проксі заслуговує на особливу увагу. Коли шахрайські транзакції або спроби входу в облікові записи здійснюються з використанням IP-адреси самої жертви, системи виявлення шахрайства, що ґрунтуються на аналізі IP-адрес, втрачають ефективність. Для банку або криптовалютної біржі запит виглядає як такий, що надходить із звичної мережі користувача.

Поширення та маскування

TrickMo C поширюється через фішингові сайти та застосунки-дропери. За даними ThreatFabric, дропери маскуються під «дорослі» версії TikTok, а сам троян імітує Google Play Services. Виявлені імена пакетів:

• Дропери: com.app16330.core20461, com.app15318.core1173
• Троян: uncle.collop416.wifekin78, nibong.lida531.butler836

Зразок дропера доступний на VirusTotal (SHA-256: 01889a9ec2abecb73e5e8792be68a4e3bc7dcbe1c3f19ac06763682d63aa8c21).

Неактивні модулі: сигнал про майбутній розвиток

Дослідники виявили в коді два неактивні компоненти: інтеграцію з фреймворком перехоплення Pine та зазначення розширених дозволів для роботи з NFC. Жоден із них поки що не реалізований функціонально. Це може вказувати на плани розробників щодо розширення можливостей трояна — зокрема, потенційного перехоплення NFC-транзакцій для атак на безконтактні платежі. Втім, це лише аналітичне припущення, а не підтверджений факт.

Оцінка впливу

Еволюція TrickMo відображає тенденцію, за якої мобільні банківські трояни виходять за межі крадіжки облікових даних і перетворюються на інструменти для побудови мережевої інфраструктури. Заражений пристрій у корпоративній Wi-Fi-мережі стає точкою входу для розвідки внутрішньої інфраструктури. Пристрій у домашній мережі — анонімізуючим проксі для шахрайських операцій.

Найбільшому ризику піддаються:

• Користувачі Android-пристроїв у Франції, Італії та Австрії, які використовують банківські застосунки та криптовалютні гаманці
• Організації, що допускають підключення особистих мобільних пристроїв до корпоративних мереж (BYOD)
• Криптовалютні біржі та платіжні сервіси, які покладаються на IP-репутацію як фактор виявлення шахрайства

Рекомендації щодо захисту

• Установка застосунків лише з офіційних джерел — Google Play Store. Не завантажуйте APK-файли зі сторонніх сайтів, особливо тих, що пропонують «модифіковані» версії популярних застосунків
• Перевірка дозволів — якщо застосунок, що видає себе за Google Play Services, запитує доступ до спеціальних можливостей (Accessibility Services), це ознака компрометації
• Моніторинг мережевого трафіку — аномальний вихідний трафік до .adnl-ендпоїнтів або нетипова активність TON-протоколу на мобільних пристроях мають розцінюватися як індикатор зараження
• Сегментація мереж — ізолюйте мобільні пристрої від критичних сегментів корпоративної інфраструктури. Політики BYOD мають враховувати ризик використання пристрою як мережевого плацдарму
• Багатофакторна автентифікація — використовуйте апаратні токени або застосунки-аутентифікатори замість SMS-кодів, які TrickMo здатен перехоплювати
• Перевірка IOC — звірте вказані вище хеші та імена пакетів із журналами MDM-систем і засобів захисту кінцевих точок

Перехід TrickMo на блокчейн-інфраструктуру для C2-комунікацій і трансформація заражених пристроїв у мережеві проксі — це якісне ускладнення загрози, що вимагає перегляду підходів до виявлення. Організаціям, які допускають мобільні пристрої в корпоративні мережі, слід негайно перевірити наявність зазначених індикаторів компрометації та переконатися, що політики сегментації унеможливлюють використання смартфона як точки входу для розвідки внутрішньої інфраструктури.