بدافزار TrickMo اندروید با استفاده از بلاکچین TON ارتباطات مخفی C2 ایجاد می‌کند

پژوهشگران امنیت سایبری نسخه جدیدی از بدافزار TrickMo را شناسایی کرده‌اند؛ بدافزار بانکی اندرویدی که در کمپین‌های هدفمند کاربران اروپایی را هدف قرار داده است. در این نسخه، بدافزار TrickMo برای برقراری ارتباط مخفی با زیرساخت فرماندهی و کنترل (C2) از شبکه غیرمتمرکز The Open Network (TON) استفاده می‌کند؛ رویکردی که ردیابی و مسدودسازی زیرساخت مهاجمان را برای سامانه‌های امنیتی به‌مراتب دشوارتر می‌کند.

سابقه فعالیت بدافزار TrickMo در حملات بانکی موبایلی

خانواده بدافزار TrickMo برای نخستین بار در سپتامبر 2019 شناسایی شد و از آن زمان تاکنون به‌طور مستمر توسعه یافته و به‌روزرسانی‌های متعددی دریافت کرده است. این بدافزار موبایلی با هدف سرقت اطلاعات مالی کاربران طراحی شده و در طول سال‌های اخیر قابلیت‌های جدیدی به آن اضافه شده است.

در اکتبر 2024، شرکت امنیتی Zimperium گزارشی منتشر کرد که نشان می‌داد 40 نمونه مختلف از این بدافزار شناسایی شده‌اند. این نمونه‌ها از طریق 16 دراپر (Dropper) منتشر می‌شدند و با 22 زیرساخت C2 ارتباط برقرار می‌کردند. هدف اصلی این کمپین‌ها جمع‌آوری اطلاعات حساس کاربران در مناطق مختلف جهان بود.

شناسایی نسخه جدید بدافزار توسط ThreatFabric

پژوهشگران شرکت امنیتی ThreatFabric نسخه جدیدی از بدافزار TrickMo را با نام Trickmo.C شناسایی کرده‌اند. بررسی‌ها نشان می‌دهد این نمونه از ژانویه 2026 تاکنون تحت بررسی و تحلیل مستمر قرار داشته است.

در کمپین‌های اخیر، این بدافزار در قالب اپلیکیشن‌های جعلی TikTok یا برنامه‌های استریم منتشر شده و کاربران اندرویدی در کشورهای فرانسه، ایتالیا و اتریش را هدف قرار می‌دهد. تمرکز اصلی مهاجمان بر سرقت اطلاعات حساس اپلیکیشن‌های بانکی و کیف پول‌های رمزارزی کاربران است.

استفاده از شبکه TON برای مخفی‌سازی ارتباطات C2

یکی از مهم‌ترین تغییرات نسخه جدید بدافزار TrickMo، استفاده از شبکه TON برای ارتباط با اپراتورهای حمله است. این ارتباط‌ها از طریق آدرس‌های .ADNL برقرار شده و توسط یک پروکسی لوکال TON در دستگاه آلوده مدیریت می‌شوند.

شبکه TON یک زیرساخت همتا‌به‌همتا (Peer-to-Peer-P2P) و غیرمتمرکز است که ابتدا در اکوسیستم تلگرام  توسعه یافته است. این شبکه به دستگاه‌ها اجازه می‌دهد از طریق یک شبکه همپوشان رمزگذاری‌شده (Encrypted Overlay Network) با سرویس‌ها ارتباط برقرار کنند، بدون اینکه زیرساخت واقعی سرورها در اینترنت عمومی قابل مشاهده باشد.

در این ساختار، سرویس‌ها به جای دامنه‌های معمولی، با شناسه‌های 256 بیتی شناسایی می‌شوند که آدرس IP و پورت واقعی سرور را مخفی کرده و شناسایی یا مسدودسازی زیرساخت مهاجمان را دشوارتر می‌سازد.

به گفته محققان ThreatFabric، روش‌های سنتی Takedown دامنه‌ها کارایی چندانی ندارند، زیرا endpointهای اپراتور حمله در ساختار DNS عمومی وجود نداشته و تنها به‌صورت هویت‌های.adnl  در شبکه TON قابل دسترسی هستند. همچنین سامانه‌های مانیتورینگ شبکه تنها ترافیک رمزگذاری‌شده TON را مشاهده می‌کنند که از نظر الگوی ترافیکی با سایر برنامه‌های مبتنی بر TON تفاوتی ندارد.