Neue TrickMo-Variante missbraucht TON-Blockchain für verdeckte Kommunikation

Zusammenfassung

Eine neue Variante der Android-Banking-Malware TrickMo nutzt das dezentrale Netzwerk The Open Network (TON), um ihre Kommunikation mit den Betreibern zu verschleiern. Entdeckt wurde die als „Trickmo.C" geführte Version vom Sicherheitsunternehmen ThreatFabric, das sie nach eigenen Angaben seit Januar beobachtet. Laut einem aktuellen Bericht tarnt sich die Schadsoftware als TikTok- oder Streaming-App und zielt auf Banking- und Kryptowährungs-Wallets von Nutzern in Frankreich, Italien und Österreich. TrickMo ist kein neuer Akteur: Die Malware wurde erstmals im September 2019 entdeckt und wird seither kontinuierlich weiterentwickelt. Im Oktober 2024 analysierte Zimperium 40 Varianten, die über 16 Dropper verteilt wurden, mit 22 unterschiedlichen Command-and-Control-Infrastrukturen kommunizierten und weltweit sensible Daten ins Visier nahmen. Das zentrale neue Merkmal der aktuellen Version ist die Anbindung an die Betreiber über TON. Statt über öffentlich erreichbare Server läuft die Kommunikation über .ADNL-Adressen, die durch einen eingebetteten lokalen TON-Proxy auf dem infizierten Gerät geleitet werden. Damit wird die tatsächliche Server-Infrastruktur deutlich schwerer aufzuspüren, zu blockieren oder abzuschalten.

TON ist ein dezentrales Peer-to-Peer-Netzwerk, das ursprünglich rund um das Telegram-Ökosystem entwickelt wurde. Es erlaubt Geräten, über ein verschlüsseltes Overlay-Netz mit dem Web zu kommunizieren, statt über öffentlich exponierte Internet-Server. Anstelle einer gewöhnlichen Domain verwendet TON eine 256-Bit-Kennung, die IP-Adresse und Kommunikationsport verbirgt.

Genau darin liegt aus Sicht von ThreatFabric die Schwierigkeit für die Verteidigung. „Klassische Domain-Takedowns sind weitgehend wirkungslos, weil die Endpunkte des Betreibers nicht auf der öffentlichen DNS-Hierarchie beruhen, sondern als TON-.adnl-Identitäten existieren, die innerhalb des Overlay-Netzwerks selbst aufgelöst werden", erklären die Forscher. Die Erkennung anhand von Verkehrsmustern an der Netzwerkgrenze sehe nur TON-Datenverkehr, der verschlüsselt und nicht von dem ausgehenden Datenstrom anderer TON-fähiger Anwendungen zu unterscheiden sei.

TrickMo ist modular aufgebaut und folgt einem zweistufigen Design: Eine Host-APK dient als Loader und sorgt für die dauerhafte Verankerung auf dem Gerät, während ein zur Laufzeit nachgeladenes APK-Modul die eigentlichen Angriffsfunktionen umsetzt.

Funktional greift die Malware Banking-Zugangsdaten über Phishing-Overlays ab. Hinzu kommen Keylogging, Bildschirmaufzeichnung und Live-Übertragung des Bildschirms, das Abfangen von SMS, das Unterdrücken von OTP-Benachrichtigungen, Manipulation der Zwischenablage, Filterung von Benachrichtigungen sowie das Anfertigen von Screenshots. Die neue Variante ergänzt diesen Funktionsumfang laut ThreatFabric um weitere Befehle und Fähigkeiten.

Daneben stießen die Forscher auf das Hooking-Framework Pine, das zuvor zum Abfangen von Netzwerk- und Firebase-Operationen genutzt wurde. Derzeit ist es jedoch inaktiv, da keine Hooks installiert sind. Ähnlich verhält es sich mit NFC: TrickMo deklariert umfangreiche NFC-Berechtigungen und meldet entsprechende Fähigkeiten in der Telemetrie, doch eine aktive NFC-Funktion fanden die Forscher nicht.

Android-Nutzern wird geraten, Software nur über Google Play zu beziehen, die Zahl installierter Apps zu begrenzen, ausschließlich Anwendungen seriöser Anbieter zu verwenden und Play Protect dauerhaft aktiviert zu lassen.

Neue TrickMo-Variante missbraucht TON-Blockchain für verdeckte Kommunikation

Ähnliche Artikel

Neueste Artikel