Una nuova variante del trojan bancario TrickMo è stata rilevata, distinguendosi per l'uso innovativo della rete TON come infrastruttura di comando e controllo. Gli aggressori implementano tunnel SOCKS5 per creare pivot di rete su dispositivi Android infetti, facilitando il movimento laterale verso reti aziendali. Questa combinazione consente di nascondere le comunicazioni e eludere le rilevazioni, segnando un'evoluzione nelle tecniche di attacco mobile che richiede nuove strategie di sicurezza.
Tunnel SOCKS5 e TON: la nuova via d'attacco su Android 🛡️
TrickMo sfrutta la rete TON per camuffare le sue comunicazioni di comando e controllo, mentre i tunnel SOCKS5 trasformano il dispositivo Android in un proxy dannoso. Ciò consente agli aggressori di reindirizzare il traffico attraverso il terminale compromesso, stabilendo un pivot verso reti interne senza destare sospetti. La tecnica evita i blocchi tradizionali utilizzando canali decentralizzati e protocolli di rete non standard, costringendo i team di sicurezza a integrare analisi dei rischi e quadri normativi che considerino il dispositivo mobile come vettore critico.
Il tuo Android ora è un proxy, e non per guardare Netflix 😅
Perché niente dice fiducia come il fatto che il tuo cellulare diventi il passaggio preferito dei criminali informatici. Mentre tu scorri Instagram, TrickMo usa il tuo Android come tunnel SOCKS5 per permettere a un aggressore di accedere alla rete della tua azienda. La cosa peggiore è che non ti pagano nemmeno il pedaggio. Quindi già lo sai: se il tuo telefono va più lento del normale, forse non è la batteria, è che sta lavorando per un altro capo. E non versa nemmeno i contributi all'INPS.