Новая версия банковского трояна TrickMo для Android получила скрытый канал связи с операторами через сеть TON. Вредоносная программа маскируется под популярные видеосервисы и стриминговые приложения, а затем охотится за банковскими логинами, кодами из SMS и доступом к криптокошелькам.

Исследователи ThreatFabric отслеживают вариант под именем Trickmo.C с января. По их данным, атаки нацелены на пользователей во Франции, Италии и Австрии, но набор приёмов типичен для мобильного мошенничества и важен для всех владельцев Android-смартфонов.

Что изменилось в TrickMo

TrickMo известен с сентября 2019 года и всё это время развивается. В октябре 2024 года Zimperium описала 40 вариантов этой вредоносной программы: они распространялись через 16 загрузчиков и связывались с 22 разными командными инфраструктурами.

Новая версия сохранила двухступенчатую схему. Сначала на телефон попадает APK-файл, который закрепляется в системе и загружает второй модуль. Уже он отвечает за кражу данных и управление заражённым устройством.

Главное отличие Trickmo.C — связь с операторами через The Open Network, или TON. Программа запускает на телефоне локальный TON-прокси и обращается к адресам .ADNL, а не к обычным доменам.

Почему TON усложняет поиск операторов

TON — децентрализованная peer-to-peer-сеть (от англ. peer to peer — равный к равному), связанная с экосистемой Telegram. Она передаёт трафик через зашифрованную оверлейную сеть, а не через привычные публичные серверы с доменными именами.

Для защитников это меняет картину. У обычного вредоноса можно искать домены, IP-адреса и порты командного сервера. В случае с .ADNL адресом TrickMo использует 256-битный идентификатор, который скрывает реальный сервер и мешает быстро заблокировать инфраструктуру.

ThreatFabric подчёркивает: традиционное изъятие доменов почти не помогает, потому что конечные точки операторов не зависят от публичной DNS-системы. Сетевые фильтры видят только зашифрованный TON-трафик, который трудно отличить от другого легитимного обмена в той же сети.

Как троян крадёт деньги и доступы

TrickMo атакует не только банковские приложения. В зоне риска — криптокошельки, SMS с одноразовыми кодами, уведомления, буфер обмена и содержимое экрана.

Один из ключевых приёмов — фишинг (от англ. phishing — выуживание) через накладные окна. Пользователь открывает настоящее приложение банка, а поверх него троян показывает похожую форму входа. Логин, пароль и код подтверждения уходят не в банк, а злоумышленникам.

Вредоносная программа умеет записывать нажатия клавиш, делать скриншоты, перехватывать SMS, скрывать уведомления с одноразовыми паролями и транслировать экран в реальном времени. Если пользователь копирует номер карты или адрес кошелька, троян может подменить содержимое буфера обмена.

Похожая логика встречается и у других угроз для Android. Ранее мы разбирали, как ботнет xlabs_v1 заражает Android-устройства через открытый ADB: там злоумышленники тоже использовали слабые места в настройках устройства, а не только ошибки в коде.

Новые команды: прокси, порты и удалённый контроль

ThreatFabric пишет, что Trickmo.C получил команды для удалённой и локальной переадресации портов, а также поддержку аутентифицированного SOCKS5 proxy. Для обычного пользователя это звучит технически, но смысл простой: заражённый телефон могут включить в цепочку для скрытого сетевого доступа.

Такой набор функций помогает оператору работать с устройством как с промежуточной точкой. Это опасно не только кражей денег. Владелец смартфона может столкнуться с блокировкой аккаунтов, подозрительными входами в сервисы и проверками со стороны банковских антифрод-систем.

Исследователи также нашли в образце фреймворк Pine для перехвата функций приложений. Раньше его применяли для вмешательства в сетевые операции и работу Firebase, но в новой версии активных перехватов не нашли. Ещё один любопытный след — расширенные разрешения NFC: троян сообщает о возможностях NFC в телеметрии, хотя рабочей NFC-функции аналитики не увидели.

Где пользователь чаще всего ошибается

Главный риск начинается не в момент кражи, а раньше — при установке приложения. TrickMo распространяют под видом знакомых сервисов: пользователь думает, что ставит развлекательное или стриминговое приложение, а получает загрузчик вредоноса.

Опасны и поисковые привычки. Запросы вроде «бесплатные proxy сервера» часто ведут на сомнительные страницы с APK-файлами, агрессивной рекламой и поддельными кнопками скачивания. На смартфоне это особенно коварно: экран маленький, адрес сайта виден хуже, а всплывающие окна легче принять за системные.

Для платежей лучше отделять повседневный браузинг от финансовых операций. Не стоит открывать банковское приложение сразу после установки неизвестного APK или после перехода по ссылке из мессенджера. Если телефон внезапно просит выдать доступ к SMS, уведомлениям, специальным возможностям или записи экрана — это повод остановиться.

При работе в общественных сетях пригодится сервис безопасного интернет-соединения: он помогает защитить соединение и приватность данных в кафе, аэропортах и других публичных Wi‑Fi-точках.

Что сделать прямо сейчас

  • Устанавливайте приложения только из Google Play и проверяйте имя разработчика, дату публикации и отзывы.
  • Оставьте включённым Play Protect и не игнорируйте его предупреждения.
  • Удалите приложения, которым без ясной причины нужен доступ к SMS, уведомлениям, специальным возможностям, записи экрана или управлению поверх других окон.
  • Не вводите банковские пароли, если форма входа выглядит иначе, чем обычно, мигает, перекрывает экран или просит лишние данные.
  • Проверьте выписки по картам и кошелькам, если недавно ставили APK не из официального магазина.
  • Для банков включите лимиты на переводы и оплату, а для важных аккаунтов — двухфакторную защиту через приложение-аутентификатор, если сервис это поддерживает.
  • Если смартфон сам скрывает уведомления, быстро разряжается, греется или показывает странные окна поверх приложений, отключите интернет и обратитесь в банк перед дальнейшими действиями.
  • После подозрительной установки смените пароли с другого чистого устройства, а затем проверьте телефон антивирусом или сбросьте его к заводским настройкам с резервным копированием только нужных данных.
Поделиться: