.jpg) Le cheval de Troie bancaire Android **TrickMo**, découvert initialement en septembre 2019, continue d'évoluer avec des techniques sophistiquées. La dernière itération, baptisée 'Trickmo.C' par **ThreatFabric**, emploie la blockchain **TON** pour dissimuler son infrastructure C2, rendant sa détection et sa neutralisation plus difficiles. ### Intégration de TON pour une furtivité accrue L'innovation clé de cette variante de **TrickMo** réside dans son utilisation de **TON** pour les communications C2. **TON** est un réseau décentralisé peer-to-peer, initialement associé à **Telegram**, qui fournit des canaux de communication chiffrés. En utilisant des adresses .ADNL acheminées via un proxy **TON** local sur les appareils infectés, **TrickMo** dissimule ses points d'extrémité de communication. Cette approche offre des avantages significatifs aux opérateurs de malwares : * **Évasion des démantèlements traditionnels :** Contrairement aux serveurs C2 basés sur des domaines traditionnels, les adresses **TON** ne dépendent pas de la hiérarchie DNS publique. * **Communications chiffrées :** Le trafic réseau apparaît comme du trafic **TON** générique, indiscernable des applications légitimes utilisant **TON**. Selon **ThreatFabric**, "Les démantèlements de domaines traditionnels sont largement inefficaces car les points d'extrémité de l'opérateur ne dépendent pas de la hiérarchie DNS publique et existent plutôt comme des identités .adnl de TON résolues à l'intérieur du réseau overlay lui-même. La détection des modèles de trafic en périphérie du réseau ne voit que le trafic TON, qui est chiffré et indiscernable du flux sortant de toute autre application utilisant TON."  **Architecture opérationnelle de TrickMo** *Source : ThreatFabric* ### Capacités de TrickMo **TrickMo** conserve une conception modulaire, composée d'un APK chargeur et d'un module téléchargé dynamiquement contenant la fonctionnalité malveillante. Ce malware est connu pour : * Superpositions de phishing pour voler les identifiants bancaires * Enregistrement de frappe et capture d'écran * Interception de SMS et suppression d'OTP * Modification du presse-papiers * Filtrage des notifications * Capture de captures d'écran La nouvelle variante introduit les nouvelles commandes suivantes : * `curl` * `dnsLookup` * `ping` * `telnet` * `traceroute` * Tunnelisation SSH * Transfert de ports distant et local * Support de proxy SOCKS5 authentifié Les chercheurs ont également observé le framework de hooking d'exécution **Pine**, précédemment utilisé pour intercepter les opérations réseau et Firebase, mais il est actuellement inactif. ### Recommandations de mitigation Pour se protéger contre **TrickMo** et les malwares Android similaires, les utilisateurs doivent : * Télécharger les applications uniquement depuis le **Google Play** Store. * Limiter le nombre d'applications installées. * Utiliser des applications uniquement provenant d'éditeurs réputés. * S'assurer que **Google Play Protect** est activé. <div> ## [99% de ce que Mythos a trouvé n'est toujours pas corrigé.](https://hubs.li/Q04crVgD0) L'IA a enchaîné quatre zero-days en un seul exploit qui a contourné les sandboxes du renderer et du système d'exploitation. Une vague de nouveaux exploits arrive. Au Autonomous Validation Summit (12 et 14 mai), découvrez comment la validation autonome et riche en contexte trouve ce qui est exploitable, prouve que les contrôles tiennent et boucle la remédiation. [Réservez votre place](https://hubs.li/Q04crVgD0) </div>