TrickMo, en ökänd Android-banking trojan, har nyligen uppdaterats med en betydande teknisk uppgradering—integrationen av The Open Network (TON) blockkedjan. Denna förändring har gett trojanen en ny nivå av stealth i dess command-and-control-kommunikation, vilket försvårar upptäckten och blockeringen av dess aktiviteter. Medan TrickMo tidigare har varit en välkänd aktör inom mobilbanksäkerhetshot, markerar denna uppdatering en oroande utveckling för användare i Europa, inklusive Sverige och de andra nordiska länderna.

Vad som hände

En ny variant av TrickMo, kallad 'TrickMo.C', har observerats av säkerhetsföretaget ThreatFabric. Denna variant är särskilt farlig då den använder TON-blockkedjans decentraliserade och krypterade nätverk för att kommunicera med sina operatörer. Genom att utnyttja TON:s .ADNL-adresser och lokala proxyservrar på infekterade enheter blir det mycket svårare för säkerhetsexperter att identifiera och stoppa trojanens aktiviteter. Trojanen distribueras via falska appar, som TikTok och andra streaming-appar, och riktar sig främst mot bankkonton och kryptovaluta-plånböcker i länder som Frankrike, Italien och Österrike.

Varför det spelar roll

Integrationen av TON-blockkedjan i TrickMo representerar en ny nivå av sofistikering inom mobil malware. Traditionellt har många trojaner förlitat sig på offentliga servrar för command-and-control, vilket gjorde dem sårbara för upptäckter och nedstängning. Med TON:s decentraliserade nätverk blir dessa traditionella metoder för att bekämpa malware ineffektiva. Detta innebär att europeiska banker och deras kunder står inför en ökad risk för ekonomisk bedrägeri och stöld.

För svenska och nordiska banker, som ofta leder inom digitalisering och fintech, utgör detta en särskild utmaning. De måste nu överväga nya strategier och teknologier för att skydda sina kunder mot dessa avancerade hot.

Teknisk analys

TON-blockkedjan är ursprungligen utvecklad inom Telegram-ekosystemet och är känd för sin förmåga att erbjuda krypterad och anonym kommunikation. Genom att använda en 256-bitars identifierare istället för vanliga domännamn döljer TON effektivt IP-adresser och kommunikationsportar. Detta gör det svårt för nätverksbaserade säkerhetslösningar att skilja skadlig trafik från legitim trafik.

TrickMo utnyttjar denna teknik genom en tvåstegsdesign där en 'host APK' agerar som lastare och en 'runtime-downloaded APK module' implementerar den skadliga funktionaliteten. Trojanen använder även Androids tillgänglighetstjänster för att stjäla bankuppgifter genom att visa falska inloggningsskärmar, vilket ytterligare förstärker dess kapacitet att undvika upptäckter.

Vad som saknas

Trots den detaljerade analysen av TrickMo.C finns det fortfarande flera obesvarade frågor. Till exempel, hur omfattande är spridningen av denna nya variant inom olika europeiska länder? Och vilka specifika åtgärder kan användare och företag vidta för att skydda sig mot denna typ av attack?

En annan öppen fråga är hur säkerhetsföretag och rättsvårdande myndigheter kommer att svara på den här nya utmaningen. Kommer det att utvecklas nya teknologier för att effektivt kunna spåra och blockera TON-baserad kommunikation, eller kommer fokus ligga på att stärka användarnas egna säkerhetsåtgärder?

Vad händer härnäst

Med tanke på TrickMos ökade sofistikation är det rimligt att förvänta sig att fler malware-aktörer kommer att börja utnyttja liknande tekniker. Det är troligt att vi kommer att se en våg av ny malware utvecklad för att dra nytta av decentraliserade nätverk som TON, vilket kommer att sätta press på säkerhetsföretag att innovera och utveckla nya skyddsmetoder.

För användare och företag innebär detta att det blir allt viktigare att hålla sig uppdaterad med de senaste säkerhetsverktygen och att regelbundet utbilda personal i cybersäkerhet. Samtidigt kan det bli nödvändigt för lagstiftare inom EU att överväga nya regleringar och skyddsåtgärder för att motverka denna typ av hot.

I denna snabbt föränderliga digitala värld fortsätter TrickMo att vara en påminnelse om vikten av att hålla sig ett steg före cyberbrottslingar. För såväl individuella användare som företag är det avgörande att vara proaktiva snarare än reaktiva i kampen mot cyberhot.