Eine neue Variante des Banken-Trojaners TrickMo wurde entdeckt, die sich durch den innovativen Einsatz des TON-Netzwerks als Kommando- und Kontrollinfrastruktur auszeichnet. Die Angreifer implementieren SOCKS5-Tunnel, um Netzwerk-Pivots auf infizierten Android-Geräten zu erstellen, was die laterale Bewegung in Unternehmensnetzwerke erleichtert. Diese Kombination ermöglicht es, Kommunikation zu verbergen und Erkennungen zu umgehen, was eine Weiterentwicklung der mobilen Angriffstechniken darstellt und neue Sicherheitsstrategien erfordert.
SOCKS5-Tunnel und TON: die neue Angriffsroute auf Android 🛡️
TrickMo nutzt das TON-Netzwerk, um seine Kommando- und Kontrollkommunikation zu tarnen, während die SOCKS5-Tunnel das Android-Gerät in einen bösartigen Proxy verwandeln. Dies ermöglicht es Angreifern, Datenverkehr über das kompromittierte Endgerät umzuleiten und einen Pivot in interne Netzwerke zu etablieren, ohne Verdacht zu erregen. Die Technik umgeht traditionelle Blockaden durch die Nutzung dezentraler Kanäle und nicht standardmäßiger Netzwerkprotokolle und zwingt Sicherheitsteams dazu, Risikoanalysen und Richtlinienrahmen zu integrieren, die das Mobilgerät als kritischen Vektor betrachten.
Dein Android ist jetzt ein Proxy – und nicht, um Netflix zu schauen 😅
Denn nichts spricht für Vertrauen, wie wenn dein Handy zum Lieblingsdurchgang von Cyberkriminellen wird. Während du auf Instagram scrollst, nutzt TrickMo dein Android als SOCKS5-Tunnel, damit ein Angreifer auf das Netzwerk deines Unternehmens zugreifen kann. Das Schlimmste ist, dass du nicht einmal Maut bezahlt bekommst. Also, du weißt Bescheid: Wenn dein Telefon langsamer als normal ist, liegt es vielleicht nicht am Akku, sondern daran, dass es für einen anderen Chef arbeitet. Und es zahlt nicht einmal in die Sozialversicherung ein.