详细内容或原文请订阅后点击阅览
Android 银行木马 TrickMo 使用 TON 网络进行 C2 演进
ThreatFabric 发现了一个新的 TrickMo Android 木马,专注于隐秘性和持久性,将其命令和控制流量转移到 TON 网络。 ThreatFabric 的安全研究人员最近发现了 TrickMo 的新版本,这是一种危险的 Android 银行木马,它表明恶意软件操作者如何减少对华而不实的新功能的关注,而更多地关注提高隐秘性、灵活性,[...]
来源:Security Affairs _恶意软件Android 银行木马 TrickMo 使用 TON 网络进行 C2 演进
ThreatFabric 发现了一个新的 TrickMo Android 木马,专注于隐秘性和持久性,将其命令和控制流量转移到 TON 网络。
ThreatFabric 的安全研究人员最近发现了 TrickMo 的新版本,这是一种危险的 Android 银行木马,它表明恶意软件操作者不再关注华而不实的新功能,而是更多地关注提高对受感染设备的隐蔽性、灵活性和长期控制。
“该变体是之前记录的 TrickMo 的直接演变:设备上的功能集基本上没有变化,但底层平台经过了刻意的重新设计,以实现隐蔽性、弹性和操作员覆盖范围。”阅读 ThreatFabric 发布的报告。 “最明显的变化是在网络层,机器人的命令和控制流量已完全从传统互联网转移到开放网络 (TON) 上。”
攻击者不再创建全新的恶意软件系列,而是重新设计现有平台,以延长生存时间、避免检测并为操作员提供更多控制权。
最新的 TrickMo 变体是在 2026 年 1 月至 2 月期间针对法国、意大利和奥地利的银行和加密货币钱包用户的活动中发现的。研究人员认为,这个更新版本正在逐渐取代已经在野外活跃的旧版 TrickMo 变体。虽然其许多可见特征仍然相似,但该恶意软件的内部结构已发生显着变化。
TrickMo 的一个有趣的方面是它的模块化设计。主应用程序主要充当启动器和持久层,而其他恶意功能稍后会作为单独的模块下载。这种架构为攻击者提供了灵活性,因为无需重新安装恶意软件即可添加新功能。
这使得检测和删除工作变得更加困难,因为基础设施不依赖于传统的 DNS 系统。
皮尔路易吉·帕格尼尼