){kind=link}
Pesquisadores da ThreatFabric identificaram, em janeiro de 2026, uma nova versão do trojan bancário TrickMo para Android. A variante, apelidada de Trickmo.C, chega com um sistema de comunicação renovado que usa uma rede descentralizada para esconder o servidor dos operadores e dificultar a derrubada da infraestrutura criminosa. Usuários de bancos e carteiras de criptomoedas na França, Itália e Áustria estão na mira.
O TrickMo não é novidade. O malware foi identificado pela primeira vez em setembro de 2019 e desde então passou por atualizações constantes. Em outubro de 2024, a empresa de segurança Zimperium já havia catalogado 40 variantes diferentes do trojan, com 16 aplicativos usados como veículos de distribuição e 22 infraestruturas distintas de comando e controle.
smart_display
Nossos vídeos em destaque
A versão mais recente representa a maior reformulação técnica da família até agora. Não é um malware novo, mas uma plataforma antiga reconstruída com foco em furtividade e dificuldade de bloqueio.
Malware se disfarça de TikTok e aplicativos de streaming
O Trickmo.C chega aos dispositivos das vítimas escondido dentro de aplicativos falsos. As campanhas identificadas pelos pesquisadores usam iscas que imitam o TikTok e aplicativos de transmissão ao vivo, distribuídos fora da Google Play Store.
Uma vez instalado, o malware solicita permissão de acessibilidade ao usuário. Essa permissão, criada para ajudar pessoas com deficiência a usar o celular, é explorada pelo trojan para assumir o controle do dispositivo. O próprio malware pressiona o usuário a conceder o acesso usando automação.
Com a permissão ativa, o operador consegue ver a tela em tempo real, registrar tudo o que a vítima digita, interceptar SMS e notificações, suprimir silenciosamente mensagens de senha de uso único e exibir telas falsas que imitam aplicativos bancários legítimos para roubar credenciais.
)
Comunicação migra para rede descentralizada
A maior mudança da nova variante está no canal de comunicação com os operadores. O Trickmo.C abandona a internet convencional e passa a usar a TON, a The Open Network, basicamente uma rede descentralizada ponto a ponto criada originalmente no ecossistema do Telegram.
Na internet comum, servidores de criminosos são identificados por endereços IP e nomes de domínio. Isso permite que autoridades e empresas de segurança solicitem a remoção dos domínios e cortem a comunicação do malware com seus controladores. Na TON, os servidores são identificados por strings criptografadas sob o pseudo-domínio .adnl, que são resolvidas dentro da própria rede descentralizada, sem depender do sistema de DNS público.
O aplicativo malicioso carrega um proxy TON embutido que roda localmente no dispositivo infectado. Todo o tráfego de comando e controle passa por esse proxy e chega ao servidor dos operadores via endereços .adnl. Para as ferramentas de monitoramento de rede, o que aparece é apenas tráfego TON cifrado, indistinguível de qualquer outro uso legítimo dessa rede.
)
Isso porque a remoção tradicional de domínios simplesmente não funciona aqui. Os endereços dos operadores não existem no DNS público e, portanto, não podem ser derrubados pelos mecanismos convencionais.
Celulares infectados viram pontos de saída de tráfego para fraudes
A nova variante adiciona um conjunto de comandos de rede que transforma o dispositivo comprometido em uma ferramenta de reconhecimento e um pivô de tráfego. Os operadores podem executar consultas DNS, testes de conectividade ICMP, rastreamento de rotas, sondagens TCP e requisições HTTP completas a partir do celular da vítima.
Além disso, o malware implementa tunelamento SSH e um proxy SOCKS5 com autenticação. A combinação mais preocupante dessas funções é usar o proxy SOCKS5 local e expô-lo através de um túnel SSH reverso. O resultado é um nó de saída de tráfego autenticado e cifrado rodando no celular da vítima, com conexões que aparecem, para os sistemas de destino, como se viessem do IP legítimo do usuário.
)
Isso derruba as defesas baseadas em análise de IP usadas por bancos, corretoras e exchanges de criptomoedas para detectar acessos suspeitos. Do ponto de vista do servidor financeiro, a transação fraudulenta parece ter partido do próprio cliente.
Framework de hooking e permissões NFC estão presentes, mas inativos
Os pesquisadores da ThreatFabric também identificaram dois componentes que existem no código do malware, mas que ainda não estão em uso. O framework Pine, usado na versão anterior para interceptar chamadas de rede e comunicações com o Firebase, continua presente e inicializado, mas sem nenhum hook ativo instalado.
O manifesto do aplicativo também declara um conjunto completo de permissões NFC, e o malware reporta as capacidades de NFC do dispositivo nos dados de telemetria enviados aos operadores. Mesmo assim, nenhum código NFC reachable foi encontrado.
)
A interpretação dos pesquisadores é que os operadores estão mapeando quais dispositivos infectados têm suporte a NFC e mantendo o framework de hooking pronto para receber código adicional entregue remotamente no futuro, sem precisar atualizar o aplicativo instalado nas vítimas.
Como se proteger
Para reduzir o risco de infecção por malwares como o TrickMo, instale aplicativos apenas pela Google Play Store e evite APKs baixados de fontes externas. Prefira aplicativos de desenvolvedores conhecidos, limite o número de apps instalados no celular e mantenha o Google Play Protect ativo.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.