サイバーセキュリティ研究者たちは、C2通信にThe Open Network（TON）を活用するTrickMo Androidバンキングトロイの木馬の新しいバージョンを特定しました。この亜種は、2026年1月から2月にかけてフランス、イタリア、オーストリアの銀行および仮想通貨ウォレットユーザーを積極的に標的にしていることが確認されています。 **進化する能力** ThreatFabricがThe Hacker Newsに共有したレポートによると、「TrickMoは、以前の亜種でも使用されていたランタイムロード型APK（dex.module）に依存していますが、偵察、SSHトンネリング、SOCKS5プロキシ機能などの新しいネットワーク指向の機能を追加するために更新されています。これにより、感染したデバイスはプログラム可能なネットワークピボットおよびトラフィック出口ノードとして機能できます。」 **TrickMoの歴史** TrickMoは2019年後半から活動しているデバイス乗っ取り（DTO）マルウェアです。最初にCERT-BundとIBM X-Forceによって警告され、Androidのアクセシビリティサービスを悪用してワンタイムパスワード（OTP）を乗っ取る能力が詳細に説明されました。認証情報フィッシング、キーストロークロギング、画面録画、ライブ画面ストリーミング、SMS傍受など、幅広い機能を備えており、オペレーターに完全なリモートデバイス制御を効果的に付与します。 **TrickMo C：最新のイテレーション** TrickMo Cと名付けられた最新バージョンは、フィッシングウェブサイトやドロッパーアプリを介して配布されています。これらのドロッパーは、攻撃者が制御するインフラストラクチャからランタイムで取得される動的にロードされるAPK（"dex.module"）を配信します。アーキテクチャの重要な変更点は、隠密なC2通信のためにTON分散型ブロックチェーンを使用することです。 ThreatFabricは、「TrickMoは、ホストAPKがプロセス開始時にループバックポートで起動する組み込みネイティブTONプロキシを搭載しています。ボットのHTTPクライアントはそのプロキシを経由してルーティングされるため、すべての送信コマンド・アンド・コントロール要求は.adnlホスト名に向けられ、TONオーバーレイを通じて解決されます。」と述べています。 マルウェアを含むドロッパーアプリは、Facebookを介して成人向けバージョンのTikTokとして偽装されており、実際のマルウェアはGoogle Playサービスを装っています。例としては以下の通りです。 * com.app16330.core20461 または com.app15318.core1173（ドロッパー） * uncle.collop416.wifekin78 または nibong.lida531.butler836（TrickMo）  **ネットワーク偵察とSOCKS5プロキシ機能** 以前のバージョンの"dex.module"はsocket.ioベースのチャネルを介したアクセシビリティ駆動のリモートコントロールを実装していましたが、新しいバージョンはネットワークオペレーティブサブシステムを利用しています。これにより、マルウェアは従来のバンキングトロイの木馬ではなく、管理された足場ツールに変貌します。 このサブシステムは、curl、dnslookup、ping、telnet、tracerouteなどのコマンドをサポートしており、攻撃者に「デバイスが現在関連付けられている内部企業ネットワークまたはホームネットワークを含む、被害者のネットワーク位置からのネットワーク偵察のためのリモートシェルと同等の機能」を提供するとThreatFabricは述べています。 もう一つの重要な機能はSOCKS5プロキシであり、これにより侵害されたデバイスは悪意のあるトラフィックをルーティングするためのネットワーク出口ノードとなり、銀行、eコマース、仮想通貨取引サービスでのIPベースの不正検出シグネチャを回避します。 **将来的な拡張？** さらに、TrickMoにはPineフックフレームワークをバンドルし、広範なNFC関連の権限を宣言する2つの休眠機能が含まれていますが、現時点ではどちらも実装されていません。これは、トロイの木馬の機能が将来的に拡張される可能性を示唆しています。 **ステルス性と回避** ThreatFabricは、「マルウェアは、従来のDNSおよびパブリックインターネットインフラストラクチャに依存するのではなく、組み込みローカルTONプロキシを介してルーティングされる.adnlエンドポイントを通じて通信するため、従来のテイクダウンやネットワークブロッキングの試みの有効性が低下し、トラフィックが正規のTONアクティビティに紛れ込みます。」と説明しています。 「この最新の亜種は、SSHトンネリングと認証済みSOCKS5プロキシ機能を介して、感染したデバイスの運用上の役割を拡大し、侵害された電話機を、接続が被害者自身のネットワーク環境から発信される、プログラム可能なネットワークピボットおよびトラフィック出口ノードに効果的に変貌させます。」