Компанія ThreatFabric опублікувала звіт про нову модифікацію Android-трояна TrickMo, який спеціалізується на викраденні банківських даних. Головною технічною новинкою цієї версії є перенесення трафіку керування на мережу TON. Раніше віруси спілкувалися зі своїми творцями через звичайні сервери або Telegram-ботів, але використання блокчейн-інфраструктури TON робить блокування каналів зв’язку майже неможливим для антивірусних компаній та провайдерів. Технічно це реалізовано через спеціальні смарт-контракти, які відправляють команди зараженим пристроям. Хронологія зараження починається з фішингових SMS або підроблених оновлень для популярних браузерів на Android.

Ця версія TrickMo фокусується на непомітності та довготривалому перебуванні в системі. Троян перехоплює коди двофакторної автентифікації з SMS та push-повідомлень, що дозволяє хакерам обходити захист банківських додатків. Після встановлення вірус запитує доступ до “Спеціальних можливостей”, що дає йому змогу бачити все, що відбувається на екрані, та автоматично натискати кнопки. Наслідком діяльності TrickMo є несанкціоновані грошові перекази з рахунків жертв на рахунки дропів. Використання мережі TON забезпечує зловмисникам високий рівень анонімності, оскільки транзакції в цій мережі важко відстежити та приписати конкретним особам або серверам.