Uma nova variante do trojan bancário TrickMo foi detectada, destacando-se pelo uso inovador da rede TON como infraestrutura de comando e controle. Os atacantes implementam túneis SOCKS5 para criar pivôs de rede em dispositivos Android infectados, facilitando o movimento lateral em direção a redes corporativas. Essa combinação permite ocultar comunicações e evadir detecções, marcando uma evolução nas técnicas de ataque móvel que exige novas estratégias de segurança.
Túneis SOCKS5 e TON: a nova rota de ataque no Android 🛡️
TrickMo aproveita a rede TON para camuflar suas comunicações de comando e controle, enquanto os túneis SOCKS5 convertem o dispositivo Android em um proxy malicioso. Isso permite que os atacantes redirecionem tráfego através do terminal comprometido, estabelecendo um pivô em direção a redes internas sem levantar suspeitas. A técnica evita bloqueios tradicionais ao usar canais descentralizados e protocolos de rede não padrão, obrigando as equipes de segurança a integrar análises de riscos e marcos de políticas que considerem o móvel como vetor crítico.
Seu Android agora é um proxy, e não para ver Netflix 😅
Porque nada diz confiança como seu celular se tornar o corredor favorito dos cibercriminosos. Enquanto você rola o feed no Instagram, o TrickMo usa seu Android como um túnel SOCKS5 para que um atacante acesse a rede da sua empresa. O pior é que você nem recebe pedágio por isso. Então, já sabe: se seu telefone está mais lento que o normal, talvez não seja a bateria, é que ele está trabalhando para outro chefe. E nem está contribuindo para a Previdência Social.