Une nouvelle variante du cheval de Troie bancaire TrickMo a été détectée, se distinguant par son utilisation innovante du réseau TON comme infrastructure de commande et de contrôle. Les attaquants mettent en œuvre des tunnels SOCKS5 pour créer des points d'accès réseau sur des appareils Android infectés, facilitant ainsi le mouvement latéral vers les réseaux d'entreprise. Cette combinaison permet de masquer les communications et d'éviter les détections, marquant une évolution des techniques d'attaque mobiles qui exige de nouvelles stratégies de sécurité.
Tunnels SOCKS5 et TON : la nouvelle voie d'attaque sur Android 🛡️
TrickMo exploite le réseau TON pour camoufler ses communications de commande et de contrôle, tandis que les tunnels SOCKS5 transforment l'appareil Android en un proxy malveillant. Cela permet aux attaquants de rediriger le trafic via le terminal compromis, établissant un point d'accès vers les réseaux internes sans éveiller les soupçons. La technique évite les blocages traditionnels en utilisant des canaux décentralisés et des protocoles réseau non standard, obligeant les équipes de sécurité à intégrer des analyses de risques et des cadres politiques considérant le mobile comme un vecteur critique.
Votre Android est maintenant un proxy, et pas pour regarder Netflix 😅
Parce que rien n'inspire confiance comme le fait que votre téléphone devienne le passage favori des cybercriminels. Pendant que vous faites défiler Instagram, TrickMo utilise votre Android comme tunnel SOCKS5 pour qu'un attaquant accède au réseau de votre entreprise. Le pire, c'est que vous n'êtes même pas payé pour le péage. Alors vous savez quoi : si votre téléphone est plus lent que d'habitude, ce n'est peut-être pas la batterie, c'est qu'il travaille pour un autre patron. Et il ne cotise même pas à la Sécurité sociale.