.jpg) 2019年9月に初めて発見された**TrickMo** Androidバンキングトロイの木馬は、洗練された技術で進化を続けています。**ThreatFabric**によって「Trickmo.C」と名付けられた最新版は、**TON**ブロックチェーンを採用してC2インフラストラクチャを隠蔽し、検知と無力化をより困難にしています。 ###ステルス性向上のためのTON統合 この**TrickMo**亜種の主な革新は、C2通信に**TON**を使用していることです。**TON**は、元々**Telegram**と関連付けられていた分散型ピアツーピアネットワークであり、暗号化された通信チャネルを提供します。感染したデバイス上のローカル**TON**プロキシを介してルーティングされる.ADNLアドレスを利用することで、**TrickMo**は通信エンドポイントを不明瞭にします。 このアプローチは、マルウェアオペレーターに大きな利点をもたらします。 * **従来の排除の回避:** 従来のドメインベースのC2サーバーとは異なり、**TON**アドレスはパブリックDNS階層に依存しません。 * **暗号化された通信:** ネットワークトラフィックは、正規の**TON**対応アプリケーションと区別がつかない、汎用的な**TON**トラフィックとして表示されます。 **ThreatFabric**によると、「オペレーターのエンドポイントはパブリックDNS階層に依存せず、オーバーレイネットワーク内で解決されるTON .adnlIDとして存在するようになるため、従来のドメイン排除はほとんど効果がありません。ネットワークエッジでのトラフィックパターン検出では、暗号化され、他のTON対応アプリケーションのアウトバウンドフローと区別がつかないTONトラフィックしか表示されません。」  **TrickMoの運用アーキテクチャ** *出典: ThreatFabric* ### TrickMoの機能 **TrickMo**は、ローダーAPKと悪意のある機能を含む動的にダウンロードされるモジュールで構成されるモジュラー設計を維持しています。このマルウェアは以下で知られています。 * バンキング認証情報を盗むためのフィッシングオーバーレイ * キーロギングと画面録画 * SMS傍受とOTP抑制 * クリップボードの変更 * 通知フィルタリング * スクリーンショットキャプチャ 最新の亜種には、以下の新しいコマンドが導入されています。 * `curl` * `dnsLookup` * `ping` * `telnet` * `traceroute` * SSHトンネリング * リモートおよびローカルポートフォワーディング * 認証済みSOCKS5プロキシサポート 研究者は、以前はネットワークおよびFirebase操作を傍受するために使用されていた**Pine**ランタイムフックフレームワークも観察しましたが、現在は非アクティブです。 ### 緩和策の推奨事項 **TrickMo**および同様のAndroidマルウェアから保護するために、ユーザーは以下を行うべきです。 * **Google Play**ストアからのみアプリをダウンロードする。 * インストールされているアプリの数を制限する。 * 信頼できる発行元のアプリのみを使用する。 * **Google Play Protect**が有効になっていることを確認する。 <div> ## [Mythosが発見したものの99%はまだパッチが適用されていません。](https://hubs.li/Q04crVgD0) AIは4つのゼロデイを1つのエクスプロイトに連鎖させ、レンダラーとOSの両方のサンドボックスをバイパスしました。新しいエクスプロイトの波が到来します。 Autonomous Validation Summit（5月12日および14日）で、自律的でコンテキストリッチな検証が、悪用可能なものをどのように見つけ、コントロールが保持されていることを証明し、修正ループを閉じるかをご覧ください。 [参加登録はこちら](https://hubs.li/Q04crVgD0) </div>