Cybersicherheitsforscher haben eine neue Version des Android-Banking-Trojaners **TrickMo** identifiziert, die **The Open Network (TON)** für C2-Kommunikation nutzt. Diese Variante wurde zwischen Januar und Februar 2026 aktiv bei Nutzern von Bank- und Kryptowährungs-Wallets in Frankreich, Italien und Österreich beobachtet. **Sich entwickelnde Fähigkeiten** Laut einem Bericht, den **ThreatFabric** mit The Hacker News teilte, "verlässt sich TrickMo auf eine zur Laufzeit geladene APK (dex.module), die auch von der vorherigen Variante verwendet wird, aber mit neuen Funktionen aktualisiert wurde, die neue netzwerkorientierte Funktionalitäten hinzufügen, einschließlich Erkundung, SSH-Tunneling und SOCKS5-Proxying-Funktionen, die es infizierten Geräten ermöglichen, als programmierbare Netzwerk-Pivots und Traffic-Exit-Knoten zu fungieren." **TrickMos Geschichte** **TrickMo** ist eine seit Ende 2019 aktive Malware zur Übernahme von Geräten (DTO). Sie wurde erstmals von **CERT-Bund** und **IBM X-Force** gemeldet, die ihre Fähigkeit detailliert beschrieben, die Android-Bedienungshilfen zu missbrauchen, um Einmalpasswörter (OTPs) abzufangen. Sie verfügt über eine breite Palette von Funktionen, darunter Credential Phishing, Keystroke Logging, Bildschirmaufzeichnung, Live-Bildschirm-Streaming und SMS-Abfangen, was dem Betreiber effektiv die vollständige Fernkontrolle über das Gerät ermöglicht. **TrickMo C: Die neueste Iteration** Die neuesten Versionen, **TrickMo C** genannt, werden über Phishing-Websites und Dropper-Apps verbreitet. Diese Dropper liefern eine dynamisch geladene APK ("dex.module"), die zur Laufzeit von Angreifer-kontrollierter Infrastruktur abgerufen wird. Eine wichtige architektonische Änderung ist die Nutzung der dezentralen TON-Blockchain für verdeckte C2-Kommunikation. "TrickMo trägt einen eingebetteten nativen TON-Proxy, den die Host-APK bei Prozessstart auf einem Loopback-Port startet", so **ThreatFabric**. "Der HTTP-Client des Bots ist über diesen Proxy verbunden, sodass jede ausgehende Befehls- und Kontrollanfrage an einen .adnl-Hostname gerichtet und über das TON-Overlay aufgelöst wird." Dropper-Apps, die die Malware enthalten, werden als erwachsenenorientierte Versionen von TikTok über Facebook getarnt, während die eigentliche Malware Google Play Services imitiert. Beispiele hierfür sind: * com.app16330.core20461 oder com.app15318.core1173 (Dropper) * uncle.collop416.wifekin78 oder nibong.lida531.butler836 (TrickMo)  **Netzwerk-Erkundung und SOCKS5-Proxy-Funktionen** Während frühere Versionen von "dex.module" eine bedienungshilfegesteuerte Fernsteuerung über einen Socket.io-basierten Kanal implementierten, nutzt die neue Version ein netzwerkoperatives Subsystem. Dies verwandelt die Malware in ein verwaltetes Foothold-Tool anstelle eines traditionellen Banking-Trojaners. Das Subsystem unterstützt Befehle wie curl, dnslookup, ping, telnet und traceroute und bietet dem Angreifer eine "Remote-Shell-Äquivalent für die Netzwerk-Erkundung von der Position des Opfers im Netzwerk aus, einschließlich jedes internen Unternehmens- oder Heimnetzwerks, mit dem das Gerät derzeit verbunden ist", so **ThreatFabric**. Eine weitere bedeutende Funktion ist ein SOCKS5-Proxy, der das kompromittierte Gerät in einen Netzwerk-Exit-Knoten für die Weiterleitung bösartigen Datenverkehrs verwandelt und IP-basierte Betrugserkennungssignaturen bei Bank-, E-Commerce- und Kryptowährungsbörsendiensten umgeht. **Zukünftige Erweiterungen?** Darüber hinaus enthält **TrickMo** zwei ruhende Funktionen, die das Pine-Hooking-Framework bündeln und umfangreiche NFC-bezogene Berechtigungen deklarieren, obwohl derzeit keine davon implementiert ist. Dies deutet auf potenzielle zukünftige Erweiterungen der Fähigkeiten des Trojaners hin. **Heimlichkeit und Umgehung** "Anstatt sich auf herkömmliche DNS- und öffentliche Internetinfrastrukturen zu verlassen, kommuniziert die Malware über .adnl-Endpunkte, die über einen eingebetteten lokalen TON-Proxy geleitet werden. Dies reduziert die Wirksamkeit herkömmlicher Takedown- und Netzwerkblockierungsbemühungen und lässt den Datenverkehr mit legitimen TON-Aktivitäten verschmelzen", erklärte **ThreatFabric**. "Diese neueste Variante erweitert auch die operative Rolle infizierter Geräte durch SSH-Tunneling und authentifiziertes SOCKS5-Proxying, wodurch kompromittierte Telefone effektiv in programmierbare Netzwerk-Pivots und Traffic-Exit-Knoten verwandelt werden, deren Verbindungen aus der eigenen Netzwerkumgebung des Opfers stammen."