MalwareCyberkriminalitätSchwachstellen

TrickMo-Banking-Trojaner nutzt TON-Blockchain für Befehle und verwandelt Android-Geräte in Netzwerk-Pivot-Tools

Von CyberDeutsch Redaktion
TrickMo-Banking-Trojaner nutzt TON-Blockchain für Befehle und verwandelt Android-Geräte in Netzwerk-Pivot-Tools
Zusammenfassung

Die Cybersecurity-Branche warnt vor einer neuen Variante des TrickMo-Trojaners, der Android-Geräte befällt und dabei eine innovative Taktik einsetzt: Statt klassischer Kommunikationswege nutzt die Malware das dezentralisierte TON-Blockchain-Netzwerk für ihre Steuerungsbefehle. Sicherheitsforscher von ThreatFabric haben zwischen Januar und Februar 2026 aktive Angriffe auf Banking- und Kryptowährungs-Nutzer in Frankreich, Italien und Österreich dokumentiert. Die neue Variante TrickMo C ist besonders gefährlich, weil sie infizierte Smartphones nicht nur als Mittel zum Diebstahl von Bankdaten missbraucht, sondern diese auch als Netzwerk-Brückenköpfe umfunktioniert. Mit SOCKS5-Proxy-Funktionen und SSH-Tunneling verwandelt sie kompromittierte Geräte in manipulierbare Ein- und Ausstiegspunkte für kriminelle Internetverkehre. Dies betrifft potenziell auch deutsche Nutzer und Unternehmen, da die neue Architektur traditionelle Sicherheitsmaßnahmen umgeht. Die Malware maskiert sich als legitime Apps wie TikTok oder Google Play Services und kann Bankkonten übernehmen, Passwörter stehlen und sogar interne Netzwerke von Unternehmen erkunden. Die Nutzung von TON für Command-and-Control macht die Malware besonders schwer zu bekämpfen.

Die neue TrickMo-Variante markiert eine Eskalation in der Sophisti­ziert­heit mobiler Banking-Malware. Das Schadprogramm wird über gefälschte TikTok-Versionen verbreitet, die über Facebook bewor­ben werden, während die eigentliche Malware als vermeintlicher Google Play Services auftritt. Besonders bemerkenswert ist die Verwendung des TON-Blockchain-Netzwerks: Die Malware startet einen embedded TON-Proxy auf einem Loopback-Port und leitet alle C2-Anfragen über .adnl-Hostnamen durch die TON-Overlay-Infrastruktur. Dies macht traditionelle Netzwerk-Blockierungen und Takedown-Versuche deutlich komplizierter, da die Malware-Traffic mit legiti­mem TON-Verkehr verschmilzt.

Die neue Variante hat sich von einem reinen Banking-Trojaner zu einer Multi-Purpose-Malware entwickelt. Das dynamisch geladene APK-Modul (“dex.module”) implementiert umfangreiche Netzwerk-Funktionalitäten: SSH-Tunnelling, SOCKS5-Proxying und Reconnaissance-Tools wie curl, dnslookup, ping, telnet und traceroute. Diese Kombination transformiert infizierte Smartphones in Netzwerk-Pivot-Punkte, über die Angreifer von der Geräte-Position aus auf interne Unternehmens- oder Heimnetzwerke zugreifen können.

Besonders kritisch ist die SOCKS5-Proxy-Funktion. Über sie können Cyberkriminelle ihre Aktivitäten durch das Gerät des Opfers leiten und so IP-basierte Betrugserkennung bei Banking-, E-Commerce- und Kryptobörsen umgehen. Gleichzeitig behält TrickMo seine klassischen Funktionalitäten: Missbrauch von Android-Accessibility-Services zur OTP-Interception, Phishing, Keystroke-Logging, Screen-Recording und SMS-Abfang.

ThreatFabric hat zudem beobachtet, dass die Entwickler zwei dormante Features vorbereitet haben – das Pine-Hooking-Framework und NFC-Permissions – die in zukünftigen Versionen aktiviert werden könnten. Dies deutet auf geplante Funktionserweiterungen hin.

Für deutsche Finanzinstitute, Telekommunikationsunternehmen und Behörden ergibt sich eine erhebliche Herausforderung. Das BSI empfiehlt, Nutzer zur Aktivierung von Google Play Protect zu sensibilisieren und auf die Risiken von APK-Installationen aus unsicheren Quellen hinzuweisen. Unternehmen sollten zusätzlich Netzwerk-Monitoring implementieren, um verdächtige Pivot-Aktivitäten zu erkennen.

Ähnliche Artikel