Des chercheurs en cybersécurité ont identifié une nouvelle version du cheval de Troie bancaire Android **TrickMo** qui utilise **The Open Network (TON)** pour les communications C2. Cette variante a été observée ciblant activement les utilisateurs de banques et de portefeuilles de cryptomonnaies en France, en Italie et en Autriche entre janvier et février 2026. **Capacités en Évolution** Selon un rapport partagé avec The Hacker News par **ThreatFabric**, "TrickMo s'appuie sur un APK chargé à l'exécution (dex.module), également utilisé par la variante précédente, mais mis à jour avec de nouvelles fonctionnalités ajoutant de nouvelles capacités orientées réseau, y compris la reconnaissance, le tunneling SSH et le proxy SOCKS5, qui permettent aux appareils infectés de fonctionner comme des pivots réseau programmables et des nœuds de sortie de trafic." **Historique de TrickMo** **TrickMo** est un malware de prise de contrôle de périphérique (DTO) actif depuis fin 2019. Il a été signalé pour la première fois par **CERT-Bund** et **IBM X-Force**, qui ont détaillé sa capacité à abuser des services d'accessibilité d'Android pour intercepter les mots de passe à usage unique (OTP). Il possède un large éventail de fonctionnalités, y compris le phishing de credentials, la journalisation des frappes clavier, l'enregistrement d'écran, le streaming d'écran en direct et l'interception de SMS, accordant ainsi un contrôle à distance complet de l'appareil à l'opérateur. **TrickMo C : La Dernière Itération** Les versions les plus récentes, baptisées **TrickMo C**, sont distribuées via des sites web de phishing et des applications dropper. Ces droppers livrent un APK chargé dynamiquement ("dex.module") récupéré à l'exécution depuis une infrastructure contrôlée par l'attaquant. Un changement architectural clé est l'utilisation de la blockchain décentralisée TON pour des communications C2 dissimulées. "TrickMo transporte un proxy TON natif embarqué que l'APK hôte démarre sur un port de bouclage au démarrage du processus", a déclaré **ThreatFabric**. "Le client HTTP du bot est acheminé via ce proxy, de sorte que chaque requête sortante de commande et contrôle est adressée à un nom d'hôte .adnl et résolue via la surcouche TON." Les applications dropper contenant le malware sont déguisées en versions à thème adulte de TikTok via Facebook, tandis que le malware réel usurpe l'identité de Google Play Services. Exemples : * com.app16330.core20461 ou com.app15318.core1173 (Dropper) * uncle.collop416.wifekin78 ou nibong.lida531.butler836 (TrickMo)  **Reconnaissance Réseau et Capacités de Proxy SOCKS5** Alors que les versions précédentes de "dex.module" implémentaient un contrôle à distance basé sur l'accessibilité via un canal basé sur socket.io, la nouvelle version utilise un sous-système opérationnel réseau. Cela transforme le malware en un outil de point d'appui géré plutôt qu'en un cheval de Troie bancaire traditionnel. Le sous-système prend en charge des commandes telles que curl, dnslookup, ping, telnet et traceroute, fournissant à l'attaquant un "équivalent de shell distant pour la reconnaissance réseau depuis la position du réseau de la victime, y compris tout réseau d'entreprise interne ou réseau domestique auquel l'appareil est actuellement associé", selon **ThreatFabric**. Une autre fonctionnalité importante est un proxy SOCKS5, qui transforme l'appareil compromis en un nœud de sortie réseau pour le routage du trafic malveillant, contournant les signatures de détection de fraude basées sur IP sur les services bancaires, d'e-commerce et d'échange de cryptomonnaies. **Expansion Future ?** De plus, **TrickMo** contient deux fonctionnalités dormantes qui regroupent le framework de hooking Pine et déclarent des permissions étendues liées au NFC, bien qu'aucune ne soit actuellement implémentée. Cela suggère des expansions futures potentielles des capacités du cheval de Troie. **Discrétion et Évasion** "Au lieu de s'appuyer sur l'infrastructure DNS conventionnelle et l'internet public, le malware communique via des points d'extrémité .adnl acheminés via un proxy TON local intégré, réduisant l'efficacité des efforts traditionnels de démantèlement et de blocage réseau tout en faisant se fondre le trafic avec l'activité TON légitime", a expliqué **ThreatFabric**. "Cette dernière variante étend également le rôle opérationnel des appareils infectés grâce au tunneling SSH et au proxy SOCKS5 authentifié, transformant efficacement les téléphones compromis en pivots réseau programmables et en nœuds de sortie de trafic dont les connexions proviennent de l'environnement réseau de la victime."