Le malware TrickMo représente une menace de plus en plus sophistiquée dans le monde des cyberattaques, visant principalement les appareils Android en Europe. Grâce à son camouflage derrière l’infrastructure décentralisée de la blockchain TON, ce cheval de Troie bancaire a su évoluer depuis sa découverte initiale en 2019. Cette analyse approfondie explore les caractéristiques de TrickMo, ses modes d’opération, et les mesures à prendre pour se protéger contre cette menace insidieuse.
TrickMo : un malware en constante évolution
TrickMo n’est pas un nouveau venu sur la scène des malwares. Démarrant son parcours malveillant en septembre 2019, il a rapidement attiré l’attention des experts en cybersécurité en raison de ses capacités d’évolution. En octobre 2024, la société Zimperium a identifié plus de 40 variantes de ce malware, témoignant des efforts continus de ses auteurs pour perfectionner leurs méthodes. Actuellement, la variante Trickmo.C, observée depuis janvier 2025, se distingue par son utilisation innovante d’une méthode de communication associée à la blockchain, rendant ainsi la détection et la neutralisation des attaques bien plus difficiles.
Des cibles spécifiques en Europe
La variante Trickmo.C a été conçue pour cibler spécifiquement des utilisateurs situés en France, en Italie et en Autriche. Se présentant souvent sous la forme d’applications populaires comme TikTok ou de services de streaming, elle vise à tromper les victimes afin de leur faire télécharger le logiciel malveillant. Une fois installé, TrickMo.C prend pour cible les identifiants bancaires ainsi que les portefeuilles de cryptomonnaies, révélant une approche planifiée et stratégique des cybercriminels.
Une utilisation astucieuse de la blockchain TON
Ce qui rend TrickMo.C particulièrement redoutable, c’est son intégration avec le réseau TON (The Open Network), un système décentralisé conçu initialement pour Telegram. Grâce à ce réseau, TrickMo.C peut établir des communications discrètes avec ses opérateurs malveillants, sans exposer ses activités sur l’Internet traditionnel. En utilisant des adresses ADNL, des identifiants propres à TON, le malware peut se connecter à ses serveurs de commande via un proxy local, rendant ainsi ses communications quasiment invisibles aux outils de détection habituels.
Un arsenal de fonctionnalités inquiétantes
L’architecture de TrickMo repose sur une structure modulaire, intégrant un APK principal pour l’installation et un module secondaire qui assure les fonctions offensives. Parmi les capacités notables de ce malware, on trouve :
- Superposition de fausses pages bancaires pour le vol des identifiants.
- Enregistrement des frappes clavier et capture d’écran.
- Diffusion en direct de l’écran à l’opérateur.
- Interception des SMS et suppression des notifications OTP.
- Modification du presse-papiers et filtrage des notifications.
Les nouvelles commandes réseau avancées que TrickMo.C a ajoutées — telles que curl, ping, telnet et tunneling SSH — élargissent les perspectives d’attaques, offrant aux cybercriminels un contrôle accru sur les appareils infectés.
Fonctionnalités dormant à surveiller
Les experts ont également découvert que TrickMo.C contient des fonctionnalités dormantes, comme l’intégration du framework Pine, qui pourrait potentiellement intercepter des opérations réseau. Bien que ces options ne soient pas encore activées, leur présence indique que les auteurs de TrickMo pourraient prévoir des mises à jour pour intensifier l’impact de leur malware. De plus, le malware mentionne des permissions liées à la technologie NFC, suggérant encore des possibilités d’évolution future.
Mesures de protection face à TrickMo
Face à une menace aussi sophistiquée que TrickMo, il est crucial pour les utilisateurs d’Android d’adopter des pratiques de sécurité efficaces. Les recommandations des experts incluent :
- Télécharger uniquement des applications à partir du Google Play Store officiel.
- Privilégier les éditeurs reconnus et lire les avis avant d’installer une application.
- Limiter le nombre d’applications installées sur son appareil.
- Activer en permanence Google Play Protect.
- Être vigilant face à des applications imitant des services populaires comme TikTok.
Un tournant inquiétant dans le paysage des malwares
L’introduction du réseau TON dans l’arsenal de TrickMo souligne l’évolution inquiétante des malwares mobiles. En exploitant des technologies décentralisées, les cybercriminels parviennent à rendre leurs infrastructures non seulement plus résistantes, mais également plus difficiles à démanteler. Cela pose un défi sans précédent pour les équipes de sécurité et les autorités, tandis que la menace pour les utilisateurs européens ne fait que croître.
