Il malware TrickMo rappresenta una minaccia sempre più sofisticata nel mondo degli attacchi informatici, mirando principalmente ai dispositivi Android in Europa. Grazie alla sua camuffamento dietro l’infrastruttura decentralizzata della blockchain TON, questo cavallo di Troia bancario ha saputo evolversi dalla sua scoperta iniziale nel 2019. Questa analisi approfondita esplora le caratteristiche di TrickMo, i suoi modi di operazione e le misure da adottare per proteggersi da questa minaccia insidiosa.
TrickMo: un malware in continua evoluzione
TrickMo non è un novizio sulla scena dei malware. Iniziando il suo percorso malevolo nel settembre 2019, ha rapidamente attirato l’attenzione degli esperti di cybersecurity a causa delle sue capacità di evoluzione. Nell’ottobre 2024, la società Zimperium ha identificato oltre 40 varianti di questo malware, testimoniando gli sforzi continui dei suoi autori per perfezionare i loro metodi. Attualmente, la variante Trickmo.C, osservata dal gennaio 2025, si distingue per il suo utilizzo innovativo di un metodo di comunicazione associato alla blockchain, rendendo così la rilevazione e la neutralizzazione degli attacchi molto più difficili.
Obiettivi specifici in Europa
La variante Trickmo.C è stata progettata per mirare specificamente a utenti situati in Francia, Italia e Austria. Presentandosi spesso sotto forma di applicazioni popolari come TikTok o servizi di streaming, mira a ingannare le vittime affinché scarichino il software malevolo. Una volta installato, TrickMo.C prende di mira gli identificativi bancari e i portafogli di criptovalute, rivelando un approccio pianificato e strategico da parte dei cybercriminali.
Un utilizzo astuto della blockchain TON
Ciò che rende TrickMo.C particolarmente temibile è la sua integrazione con la rete TON (The Open Network), un sistema decentralizzato progettato inizialmente per Telegram. Grazie a questa rete, TrickMo.C può stabilire comunicazioni discrete con i suoi operatori malevoli, senza esporre le sue attività su Internet tradizionale. Utilizzando indirizzi ADNL, identificatori propri di TON, il malware può connettersi ai suoi server di comando tramite un proxy locale, rendendo così le sue comunicazioni quasi invisibili agli strumenti di rilevamento abituali.
Un arsenale di funzionalità preoccupanti
L’architettura di TrickMo si basa su una struttura modulare, integrando un APK principale per l’installazione e un modulo secondario che assicura le funzioni offensive. Tra le capacità notevoli di questo malware, troviamo:
- Superimpressione di false pagine bancarie per il furto degli identificativi.
- Registrazione delle battiture e cattura di schermate.
- Diffusione in diretta dello schermo all’operatore.
- Intercettazione degli SMS e cancellazione delle notifiche OTP.
- Modifica degli appunti e filtraggio delle notifiche.
I nuovi comandi di rete avanzati che TrickMo.C ha aggiunto — come curl, ping, telnet e tunneling SSH — ampliano le possibilità di attacco, offrendo ai cybercriminali un controllo maggiore sui dispositivi infetti.
Funzionalità dormienti da monitorare
Gli esperti hanno anche scoperto che TrickMo.C contiene funzionalità dormienti, come l’integrazione del framework Pine, che potrebbe potenzialmente intercettare operazioni di rete. Sebbene queste opzioni non siano ancora attivate, la loro presenza indica che gli autori di TrickMo potrebbero prevedere aggiornamenti per intensificare l’impatto del loro malware. Inoltre, il malware menziona permessi legati alla tecnologia NFC, suggerendo ulteriori possibilità di evoluzione futura.
Misure di protezione contro TrickMo
Di fronte a una minaccia così sofisticata come TrickMo, è cruciale per gli utenti Android adottare pratiche di sicurezza efficaci. Le raccomandazioni degli esperti includono:
- Scaricare solo applicazioni dal Google Play Store ufficiale.
- Preferire editori riconosciuti e leggere le recensioni prima di installare un’applicazione.
- Limitare il numero di applicazioni installate sul dispositivo.
- Attivare sempre Google Play Protect.
- Essere vigili nei confronti di applicazioni che imitano servizi popolari come TikTok.
Un’inquietante svolta nel panorama dei malware
L’introduzione della rete TON nell’arsenale di TrickMo sottolinea l’evoluzione inquietante dei malware mobili. Sfruttando tecnologie decentralizzate, i cybercriminali riescono a rendere le loro infrastrutture non solo più resistenti ma anche più difficili da smantellare. Questo rappresenta una sfida senza precedenti per i team di sicurezza e le autorità, mentre la minaccia per gli utenti europei continua a crescere.
