.jpg) Der Android-Banking-Trojaner **TrickMo**, der ursprünglich im September 2019 entdeckt wurde, entwickelt sich mit ausgeklügelten Techniken weiter. Die neueste Iteration, von **ThreatFabric** als 'Trickmo.C' bezeichnet, setzt die **TON**-Blockchain ein, um ihre C2-Infrastruktur zu verschleiern und die Erkennung und Neutralisierung zu erschweren. ### TON-Integration für verbesserte Tarnung Die wichtigste Neuerung in dieser **TrickMo**-Variante ist die Nutzung von **TON** für C2-Kommunikation. **TON** ist ein dezentrales Peer-to-Peer-Netzwerk, das ursprünglich mit **Telegram** in Verbindung gebracht wurde und verschlüsselte Kommunikationskanäle bietet. Durch die Verwendung von .ADNL-Adressen, die über einen lokalen **TON**-Proxy auf infizierten Geräten geleitet werden, verschleiert **TrickMo** seine Kommunikationsendpunkte. Dieser Ansatz bietet erhebliche Vorteile für Malware-Betreiber: * **Umgehung traditioneller Zerschlagungen:** Im Gegensatz zu herkömmlichen domänenbasierten C2-Servern sind **TON**-Adressen nicht von der öffentlichen DNS-Hierarchie abhängig. * **Verschlüsselte Kommunikation:** Der Netzwerkverkehr erscheint als generischer **TON**-Verkehr und ist von legitimen **TON**-fähigen Anwendungen nicht zu unterscheiden. Laut **ThreatFabric** sind "traditionelle Domain-Zerschlagungen weitgehend unwirksam, da die Endpunkte des Betreibers nicht auf der öffentlichen DNS-Hierarchie basieren und stattdessen als TON .adnl-Identitäten existieren, die innerhalb des Overlay-Netzwerks selbst aufgelöst werden. Die Erkennung von Verkehrsmustern am Netzwerkrand sieht nur TON-Verkehr, der verschlüsselt und von jedem anderen ausgehenden Datenfluss einer TON-fähigen Anwendung nicht zu unterscheiden ist."  **TrickMo operative Architektur** *Quelle: ThreatFabric* ### TrickMo's Fähigkeiten **TrickMo** behält ein modulares Design bei, das aus einer Loader-APK und einem dynamisch heruntergeladenen Modul mit der bösartigen Funktionalität besteht. Diese Malware ist bekannt für: * Phishing-Overlays zum Diebstahl von Bankdaten * Keylogging und Bildschirmaufzeichnung * SMS-Abfangen und OTP-Unterdrückung * Änderung der Zwischenablage * Benachrichtigungsfilterung * Erfassung von Screenshots Die neueste Variante führt die folgenden neuen Befehle ein: * `curl` * `dnsLookup` * `ping` * `telnet` * `traceroute` * SSH-Tunneling * Remote- und lokale Portweiterleitung * Authentifizierter SOCKS5-Proxy-Support Forscher beobachteten auch das **Pine**-Runtime-Hooking-Framework, das zuvor zum Abfangen von Netzwerk- und Firebase-Operationen verwendet wurde, aber derzeit inaktiv ist. ### Empfehlungen zur Minderung Um sich vor **TrickMo** und ähnlicher Android-Malware zu schützen, sollten Benutzer: * Apps nur aus dem **Google Play** Store herunterladen. * Die Anzahl der installierten Apps begrenzen. * Apps nur von vertrauenswürdigen Herausgebern verwenden. * Sicherstellen, dass **Google Play Protect** aktiviert ist. <div> ## [99% dessen, was Mythos gefunden hat, ist immer noch ungepatcht.](https://hubs.li/Q04crVgD0) KI hat vier 0-days zu einem einzigen Exploit verkettet, der sowohl Renderer- als auch OS-Sandboxes umgangen hat. Eine Welle neuer Exploits steht bevor. Auf dem Autonomous Validation Summit (12. und 14. Mai) erfahren Sie, wie autonome, kontextreiche Validierung das Ausnutzbare findet, die Wirksamkeit von Kontrollen beweist und den Behebungszyklus schließt. [Platz sichern](https://hubs.li/Q04crVgD0) </div>