Pesquisadores de cibersegurança identificaram uma nova versão do trojan bancário Android **TrickMo** que utiliza **The Open Network (TON)** para comunicações C2. Esta variante tem sido observada visando ativamente usuários de bancos e carteiras de criptomoedas na França, Itália e Áustria entre janeiro e fevereiro de 2026. **Capacidades em Evolução** De acordo com um relatório compartilhado com The Hacker News pela **ThreatFabric**, "TrickMo depende de um APK carregado em tempo de execução (dex.module), usado também pela variante anterior, mas atualizado com novos recursos adicionando nova funcionalidade orientada à rede, incluindo reconhecimento, túnel SSH e capacidades de proxy SOCKS5 que permitem que dispositivos infectados funcionem como pivôs de rede programáveis e nós de saída de tráfego." **Histórico do TrickMo** **TrickMo** é um malware de tomada de controle de dispositivo (DTO) ativo desde o final de 2019. Foi sinalizado pela primeira vez pelo **CERT-Bund** e **IBM X-Force**, que detalharam sua capacidade de abusar dos serviços de acessibilidade do Android para sequestrar senhas de uso único (OTPs). Ele possui uma ampla gama de recursos, incluindo phishing de credenciais, registro de teclas, gravação de tela, transmissão de tela ao vivo e interceptação de SMS, concedendo efetivamente controle remoto completo do dispositivo ao operador. **TrickMo C: A Iteração Mais Recente** As versões mais novas, apelidadas de **TrickMo C**, são distribuídas via sites de phishing e aplicativos dropper. Esses droppers entregam um APK carregado dinamicamente ("dex.module") recuperado em tempo de execução de infraestrutura controlada por atacantes. Uma mudança arquitetural chave é o uso da blockchain descentralizada TON para comunicações C2 ocultas. "TrickMo carrega um proxy TON nativo embutido que o APK host inicia em uma porta de loopback ao iniciar o processo", declarou a **ThreatFabric**. "O cliente HTTP do bot é roteado através desse proxy, então toda solicitação de comando e controle de saída é endereçada a um nome de host .adnl e resolvida através da sobreposição TON." Aplicativos dropper contendo o malware são disfarçados como versões temáticas para adultos do TikTok através do Facebook, enquanto o malware real se disfarça como Serviços do Google Play. Exemplos incluem: * com.app16330.core20461 ou com.app15318.core1173 (Dropper) * uncle.collop416.wifekin78 ou nibong.lida531.butler836 (TrickMo)  **Reconhecimento de Rede e Capacidades de Proxy SOCKS5** Enquanto versões anteriores de "dex.module" implementavam controle remoto baseado em acessibilidade via um canal baseado em socket.io, a nova versão utiliza um subsistema operacional de rede. Isso transforma o malware em uma ferramenta de ponto de apoio gerenciado em vez de um trojan bancário tradicional. O subsistema suporta comandos como curl, dnslookup, ping, telnet e traceroute, fornecendo ao atacante um "equivalente de shell remoto para reconhecimento de rede a partir da posição de rede da vítima, incluindo qualquer rede corporativa interna ou doméstica à qual o dispositivo esteja atualmente associado", de acordo com a **ThreatFabric**. Outro recurso significativo é um proxy SOCKS5, que transforma o dispositivo comprometido em um nó de saída de rede para rotear tráfego malicioso, contornando assinaturas de detecção de fraude baseadas em IP em serviços bancários, de e-commerce e de câmbio de criptomoedas. **Expansão Futura?** Além disso, **TrickMo** contém dois recursos dormentes que empacotam o framework de hooking Pine e declaram permissões extensas relacionadas a NFC, embora nenhum esteja atualmente implementado. Isso sugere potenciais expansões futuras das capacidades do trojan. **Furtividade e Evasão** "Em vez de depender de DNS convencional e infraestrutura de internet pública, o malware se comunica através de endpoints .adnl roteados via um proxy TON local embutido, reduzindo a eficácia de esforços tradicionais de desativação e bloqueio de rede, ao mesmo tempo em que faz o tráfego se misturar com a atividade TON legítima", explicou a **ThreatFabric**. "Esta última variante também expande o papel operacional dos dispositivos infectados através de túnel SSH e proxy SOCKS5 autenticado, efetivamente transformando telefones comprometidos em pivôs de rede programáveis e nós de saída de tráfego cujas conexões se originam do próprio ambiente de rede da vítima."