.jpg)
Varian baru dari malware perbankan Android TrickMo, yang dikirimkan dalam kampanye yang menargetkan pengguna di seluruh Eropa, memperkenalkan perintah baru dan menggunakan The Open Network (TON) untuk komunikasi perintah dan kontrol yang tersembunyi.
Bankir TrickMo pertama kali terlihat pada bulan September 2019 dan tetap dalam pengembangan aktif, terus menerima pembaruan sejak saat itu.
Pada bulan Oktober 2024, Zimperium dianalisis 40 varian malware dikirimkan melalui 16 dropper, berkomunikasi dengan 22 infrastruktur perintah dan kontrol (C2) yang berbeda, dan menargetkan data sensitif milik pengguna di seluruh dunia.
Varian terbaru ditemukan oleh ThreatFabric, yang melacaknya sebagai ‘Trickmo.C’. Para peneliti telah mengamati versi ini sejak Januari.
Dalam laporannya hari ini, ThreatFabric mengatakan bahwa malware tersebut menyamar sebagai TikTok atau aplikasi streaming dan menargetkan dompet perbankan dan mata uang kripto pengguna di Prancis, Italia, dan Austria.
Fitur utama baru dalam varian saat ini adalah komunikasi berbasis TON dengan operator, yang menggunakan alamat .ADNL yang dirutekan melalui proxy TON lokal tertanam yang berjalan pada perangkat yang terinfeksi.
TON adalah jaringan peer-to-peer terdesentralisasi yang awalnya dikembangkan di sekitar ekosistem Telegram yang memungkinkan perangkat berkomunikasi dengan web melalui jaringan overlay terenkripsi daripada server internet yang diekspos secara publik.
TON menggunakan pengidentifikasi 256-bit alih-alih domain normal, yang menyembunyikan alamat IP dan port komunikasi, sehingga membuat infrastruktur server sebenarnya lebih sulit untuk diidentifikasi, diblokir, atau dihapus.
“Penghapusan domain tradisional sebagian besar tidak efektif karena titik akhir operator tidak bergantung pada hierarki DNS publik dan malah ada sebagai identitas TON .adnl yang diselesaikan di dalam jaringan overlay itu sendiri,” menjelaskan ThreatFabric.
“Deteksi pola lalu lintas di tepi jaringan hanya melihat lalu lintas TON, yang dienkripsi dan tidak dapat dibedakan dari aliran keluar aplikasi berkemampuan TON lainnya.”
Sumber: ThreatFabric
Kemampuan TrickMo
TrickMo adalah malware modular dengan desain dua tahap: APK host yang berfungsi sebagai pemuat dan lapisan persistensi, serta modul APK yang diunduh waktu proses yang mengimplementasikan fungsi ofensif.
Malware ini menargetkan kredensial perbankan melalui lapisan phishing, melakukan keylogging, perekaman layar, dan streaming layar langsung, intersepsi SMS, penekanan notifikasi OTP, modifikasi clipboard, pemfilteran notifikasi, dan pengambilan tangkapan layar.
ThreatFabric melaporkan bahwa varian baru menambahkan perintah dan kemampuan berikut:
- keriting
- pencarian dns
- ping
- telnet
- traceroute
- Penerowongan SSH
- penerusan port jarak jauh
- penerusan port lokal
- dukungan proksi SOCKS5 yang diautentikasi
Para peneliti juga menemukan kerangka kerja hooking runtime Pine, yang sebelumnya digunakan untuk mencegat jaringan dan operasi Firebase, namun saat ini tidak aktif karena tidak ada hook yang dipasang.
TrickMo juga menyatakan izin NFC yang luas dan melaporkan kemampuan NFC dalam telemetri, namun para peneliti tidak menemukan fungsi NFC yang aktif.
Pengguna Android disarankan untuk hanya mengunduh perangkat lunak dari Google Play, membatasi jumlah aplikasi yang terpasang di ponsel mereka, hanya menggunakan aplikasi dari penerbit terkemuka, dan memastikan bahwa Play Protect aktif setiap saat.
99% Mitos yang Ditemukan Masih Belum Ditambal.
AI menyatukan empat zero-day menjadi satu eksploitasi yang melewati penyaji dan sandbox OS. Gelombang eksploitasi baru akan datang.
Pada Autonomous Validation Summit (12 & 14 Mei), lihat bagaimana validasi yang otonom dan kaya konteks menemukan hal-hal yang dapat dieksploitasi, membuktikan bahwa kontrol tetap berlaku, dan menutup siklus remediasi.
