TrickMo zählt zur Kategorie der Schadsoftware für vollständige Geräteübernahme (Device Takeover, DTO) und ist seit Ende 2019 in freier Wildbahn aktiv. Bereits damals wiesen CERT-Bund und IBM X-Force darauf hin, dass das Schadprogramm die Bedienungshilfen von Android (Accessibility Services) missbraucht, um Einmalpasswörter (OTPs) abzufangen. Hinzu kommen Funktionen zum Phishing von Zugangsdaten, zum Mitschneiden von Tastatureingaben, zur Bildschirmaufzeichnung und Live-Übertragung sowie zum Abfangen von SMS-Nachrichten — zusammen ergibt sich die vollständige Fernsteuerung des Geräts.

Die aktuellen Versionen, von ThreatFabric als TrickMo C bezeichnet, werden über Phishing-Websites und Dropper-Apps verbreitet. Letztere dienen als Vehikel für eine dynamisch nachgeladene APK (“dex.module”), die zur Laufzeit von einer durch die Angreifer kontrollierten Infrastruktur bezogen wird. Die Dropper-Apps tarnen sich als nicht jugendfreie TikTok-Varianten über Facebook, während sich die eigentliche Malware als Google Play Services ausgibt.

Der wesentliche Architekturwechsel liegt in der C2-Kommunikation über die dezentrale TON-Blockchain. Laut ThreatFabric enthält TrickMo einen eingebetteten nativen TON-Proxy, den die Host-APK beim Prozessstart auf einem Loopback-Port startet. Der HTTP-Client des Bots läuft über diesen Proxy, sodass jede ausgehende C2-Anfrage an einen “.adnl”-Hostnamen gerichtet und über das TON-Overlay aufgelöst wird. Da die Malware nicht auf herkömmliches DNS und öffentliche Internet-Infrastruktur setzt, erschwert dies Sperr- und Abschaltversuche und lässt den Datenverkehr im legitimen TON-Aufkommen aufgehen.

Während frühere Ausgaben von “dex.module” die durch die Bedienungshilfen gesteuerte Fernsteuerung über einen socket.io-basierten Kanal umsetzten, nutzt die neue Version ein netzwerkorientiertes Subsystem. Es unterstützt Befehle wie curl, dnslookup, ping, telnet und traceroute und gibt dem Angreifer laut ThreatFabric ein “fernsteuerbares Shell-Äquivalent” für Netzwerkaufklärung aus der Position des Opfers heraus — einschließlich des internen Firmen- oder Heimnetzes, mit dem das Gerät verbunden ist.

Ein weiterer Bestandteil ist ein SOCKS5-Proxy, der das kompromittierte Gerät in einen Ausgangsknoten verwandelt: Über ihn lässt sich schädlicher Datenverkehr leiten, wodurch IP-basierte Betrugserkennung bei Banking-, E-Commerce- und Krypto-Börsendiensten umgangen wird. Da die Verbindungen aus der Netzwerkumgebung des Opfers stammen, fügt sich der Datenverkehr unauffällig ein.

Daneben bringt TrickMo zwei bislang inaktive Bestandteile mit: das Hooking-Framework Pine sowie umfangreiche NFC-bezogene Berechtigungen. Beide sind laut ThreatFabric nicht implementiert, was darauf hindeutet, dass die Entwickler den Trojaner künftig weiter ausbauen wollen.