ThreatFabric发现了一种名为TrickMo.C的新型TrickMo安卓银行恶意软件变种。该恶意软件通过伪装成TikTok或流媒体应用的droppers传播，主要针对法国、意大利和奥地利的银行及加密货币钱包用户。其关键新特性是使用开放网络(TON)进行命令与控制(C2)通信，利用.ADNL地址和受感染设备上的本地TON代理。这使得传统的域名屏蔽难以生效，因为运营商的端点不依赖公共DNS。该恶意软件采用模块化两级设计：一个加载器APK和一个运行时下载的攻击模块。功能包括网络钓鱼覆盖层、键盘记录、屏幕录制、短信拦截和剪贴板修改。最新变种新增了curl、ping、SSH隧道和SOCKS5代理支持等命令。虽然声明了广泛的NFC权限，但未观察到活跃的NFC功能。建议安卓用户仅从Google Play下载应用，并始终启用Play Protect。

关键事实

• TrickMo.C使用TON的.ADNL地址进行隐蔽C2通信。
• 伪装成TikTok或流媒体应用，针对法国、意大利、奥地利的银行和加密钱包。
• 模块化两级设计：加载器APK和运行时下载的攻击模块。
• 新增命令包括SSH隧道、SOCKS5代理、ping、curl和DNS查询。
• 声明NFC权限但未发现活跃NFC功能。
• 由于TON覆盖网络，传统域名屏蔽无效。

KeyAudit 数据视角