.jpg) O trojan bancário Android **TrickMo**, descoberto inicialmente em setembro de 2019, continua a evoluir com técnicas sofisticadas. A iteração mais recente, apelidada de 'Trickmo.C' pela **ThreatFabric**, emprega a blockchain **TON** para ocultar sua infraestrutura C2, tornando-o mais difícil de detectar e neutralizar. ### Integração TON para Discrição Aprimorada A principal inovação nesta variante do **TrickMo** é o uso de **TON** para comunicações C2. **TON** é uma rede descentralizada peer-to-peer, originalmente associada ao **Telegram**, que fornece canais de comunicação criptografados. Ao utilizar endereços .ADNL roteados através de um proxy **TON** local em dispositivos infectados, o **TrickMo** obscurece seus pontos de extremidade de comunicação. Essa abordagem oferece vantagens significativas para operadores de malware: * **Evasão de Desativações Tradicionais:** Ao contrário dos servidores C2 tradicionais baseados em domínio, os endereços **TON** não dependem da hierarquia pública de DNS. * **Comunicações Criptografadas:** O tráfego de rede aparece como tráfego genérico **TON**, indistinguível de aplicações legítimas habilitadas para **TON**. De acordo com a **ThreatFabric**, "Desativações de domínio tradicionais são em grande parte ineficazes porque os pontos de extremidade do operador não dependem da hierarquia pública de DNS e, em vez disso, existem como identidades .adnl do TON resolvidas dentro da própria rede overlay. A detecção de padrões de tráfego na borda da rede vê apenas tráfego TON, que é criptografado e indistinguível do fluxo de saída de qualquer outra aplicação habilitada para TON."  **Arquitetura operacional do TrickMo** *Fonte: ThreatFabric* ### Capacidades do TrickMo O **TrickMo** mantém um design modular, consistindo em um APK loader e um módulo baixado dinamicamente contendo a funcionalidade maliciosa. Este malware é conhecido por: * Overlays de phishing para roubar credenciais bancárias * Keylogging e gravação de tela * Intercepção de SMS e supressão de OTP * Modificação da área de transferência * Filtragem de notificações * Captura de screenshots A variante mais nova introduz os seguintes novos comandos: * `curl` * `dnsLookup` * `ping` * `telnet` * `traceroute` * Tunelamento SSH * Encaminhamento de porta remota e local * Suporte a proxy SOCKS5 autenticado Pesquisadores também observaram o framework de hooking de runtime **Pine**, anteriormente usado para interceptar operações de rede e Firebase, mas ele está atualmente inativo. ### Recomendações de Mitigação Para se proteger contra **TrickMo** e malwares Android semelhantes, os usuários devem: * Baixar aplicativos apenas da **Google Play** Store. * Limitar o número de aplicativos instalados. * Usar aplicativos apenas de publicadores confiáveis. * Garantir que o **Google Play Protect** esteja ativado. <div> ## [99% do que a Mythos Descobriu Ainda Não Foi Corrigido.](https://hubs.li/Q04crVgD0) A IA encadeou quatro zero-days em um único exploit que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novos exploits está chegando. Na Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles se mantêm e fecha o ciclo de remediação. [Garanta Sua Vaga](https://hubs.li/Q04crVgD0) </div>