MalwareHackerangriffeSchwachstellen

TrickMo-Banking-Malware nutzt TON-Blockchain für versteckte Kommunikation

Von CyberDeutsch Redaktion
TrickMo-Banking-Malware nutzt TON-Blockchain für versteckte Kommunikation
Zusammenfassung

Die Banking-Malware TrickMo hat sich zu einer ernsthaften Bedrohung für Android-Nutzer in Europa entwickelt. Die neueste Variante des seit 2019 bekannten Schädlings setzt auf eine innovative Strategie zur Verschleierung seiner Kommunikationswege: Sie nutzt das TON-Blockchain-Netzwerk statt konventioneller Internetserver für den Datenaustausch mit den Angreifern. Dies macht die Malware deutlich schwerer zu bekämpfen, da traditionelle Domain-Abschaltungen wirkungslos bleiben. TrickMo zielt primär auf Nutzer in Frankreich, Italien und Österreich ab, wird aber als gefälschte TikTok- oder Streaming-App verbreitet und könnte deutschsprachige Länder ebenfalls ins Visier nehmen. Die Malware stiehlt Banking-Anmeldedaten, zeichnet Bildschirme auf, fängt SMS ab und unterdrückt Benachrichtigungen zu Transaktionen. Für deutsche Nutzer und Unternehmen bedeutet dies ein erhebliches Risiko: Wer Banking-Apps auf seinem Smartphone nutzt oder sensible finanzielle Transaktionen durchführt, könnte ins Visier geraten. Besonders kritisch ist die Fähigkeit des Schädlings, Zwei-Faktor-Authentifizierung zu umgehen. Deutsche Behörden sollten verstärkt vor dieser Bedrohung warnen und Sicherheitsmaßnahmen koordinieren.

TrickMo ist ein modulares Android-Banking-Trojaner mit beeindruckender Funktionalität. Die Malware verbreitet sich über versteckte Apps, die sich als TikTok oder Streaming-Dienste ausgeben – ein bewährtes Taktik-Schema, das auch auf deutschen Geräten funktioniert. Das Besondere: Die neue Variante verzichtet auf herkömmliche, leicht nachverfolgbare Command-and-Control-Server und nutzt stattdessen die TON-Blockchain.

Warum ist TON so gefährlich für die Sicherheit? Das Netzwerk basiert auf 256-Bit-Identifikatoren statt auf konventionellen Domains und IP-Adressen. Die Kommunikation läuft über ein verschlüsseltes Overlay-Netzwerk – ein lokaler TON-Proxy auf dem infizierten Gerät verwaltet die Verbindung. Das bedeutet: Die echte Server-Infrastruktur des Angreifers bleibt verborgen. “Traditionelle Domain-Takedowns sind großenteils unwirksam, weil die Operator-Endpunkte nicht auf die öffentliche DNS-Hierarchie angewiesen sind”, erklärt ThreatFabric in ihrem Report.

Die Funktionen des Trojaners sind umfassend: TrickMo stiehlt Banking-Zugangsdaten durch Phishing-Overlays, führt Keylogging und Screen Recording durch, interceptiert SMS und One-Time-Passwords (OTPs), filtert Benachrichtigungen und manipuliert die Zwischenablage. Besonders bemerkenswert ist die Unterstützung für NFC-Funktionen und das Pine-Framework zum Abhören von Netzwerk- und Firebase-Operationen – letzteres ist derzeit noch inaktiv.

Im Oktober 2024 analysierten Sicherheitsforscher 40 Varianten, die über 16 verschiedene Dropper verteilt wurden und mit 22 unterschiedlichen C2-Infrastrukturen kommunizierten. Das zeigt eine hochgradig organisierte Kampagne.

Das BSI empfiehlt deutschen Nutzern dringend: Apps nur aus dem Google Play Store herunterladen, die Zahl installierter Apps begrenzen, nur Apps vertrauenswürdiger Hersteller nutzen und Google Play Protect aktiviert halten. Für Unternehmen gilt: Verstärken Sie Awareness-Trainings zu Malware-Distribution und überwachen Sie verdächtige Netzwerkaktivitäten. Die TON-Kommunikation könnte zwar schwer zu blockieren sein, aber abnormales Netzwerk-Verhalten lässt sich durch moderne SIEM-Systeme erkennen.

Ähnliche Artikel