TrickMo e TON: como o trojan Android evoluiu sua infraestrutura de comando e controle

O avanço das ameaças móveis vem transformando smartphones em um dos principais alvos da cibercriminalidade moderna. Em um cenário empresarial cada vez mais dependente de autenticação móvel, carteiras digitais e aplicações bancárias, a evolução técnica dos trojans Android representa um risco estratégico que ultrapassa o impacto individual sobre usuários finais. A nova variante do malware TrickMo identificada pela ThreatFabric evidencia exatamente essa mudança de paradigma.

A campanha observada entre janeiro e fevereiro de 2026 introduziu uma alteração arquitetural relevante: a migração da infraestrutura de comando e controle (C2) para a blockchain The Open Network (TON). Em vez de depender exclusivamente de domínios tradicionais e resolução DNS pública, a variante passou a utilizar identidades descentralizadas .adnl dentro da camada TON, reduzindo drasticamente a eficácia de mecanismos convencionais de derrubada de infraestrutura maliciosa.

Essa mudança não representa apenas uma adaptação técnica incremental. Ela demonstra como operadores de malware estão incorporando conceitos de descentralização, anonimização de tráfego e sobreposição de rede para ampliar resiliência operacional e dificultar investigações. Para empresas, instituições financeiras e equipes de segurança, isso cria desafios importantes relacionados à visibilidade, monitoramento e resposta a incidentes.

Além disso, a variante TrickMo C amplia o papel do dispositivo comprometido. O smartphone deixa de atuar apenas como alvo de roubo de credenciais e passa a funcionar como um ponto operacional de rede programável, capaz de executar tarefas de reconhecimento, tunelamento e intermediação de tráfego utilizando o próprio endereço IP da vítima.

Neste artigo, analisaremos em profundidade como a nova variante do TrickMo utiliza a TON para ocultar sua infraestrutura C2, quais capacidades operacionais foram adicionadas, quais riscos isso cria para ambientes corporativos e quais implicações estratégicas essa evolução traz para segurança mobile, prevenção de fraudes e defesa de redes empresariais.

A evolução do TrickMo no cenário de ameaças móveis

O TrickMo já era conhecido no ecossistema de segurança como um trojan Android voltado para controle remoto de dispositivos e fraude bancária. Sua operação explorava principalmente os serviços de acessibilidade do Android para obter privilégios ampliados e interagir silenciosamente com o dispositivo comprometido.

Historicamente, o malware focava em interceptação de credenciais, captura de dados sensíveis e supressão de mecanismos de autenticação adicionais, como notificações de senha de uso único (OTP). Entretanto, a nova variante observada pela ThreatFabric demonstra uma mudança estratégica importante: o foco crescente em persistência operacional e infraestrutura resiliente.

Essa transformação acompanha uma tendência mais ampla do ecossistema de malware moderno. Operadores deixaram de depender apenas de campanhas rápidas e descartáveis para adotar arquiteturas mais distribuídas, resistentes a bloqueios e capazes de sobreviver por períodos maiores mesmo sob pressão de equipes de segurança.

No caso do TrickMo C, a mudança para a TON funciona como um mecanismo de proteção operacional. Em vez de utilizar infraestrutura tradicional facilmente identificável via DNS público, o malware desloca a resolução de seus endpoints para uma camada descentralizada, dificultando ações convencionais de bloqueio.

Campanhas direcionadas e engenharia social

Segundo a ThreatFabric, a variante foi observada em campanhas ativas contra usuários de bancos e carteiras digitais na França, Itália e Áustria. A distribuição utilizava anúncios no Facebook com iscas temáticas do TikTok, demonstrando uma estratégia de engenharia social alinhada ao comportamento digital contemporâneo.

Esse detalhe é relevante porque evidencia a combinação entre sofisticação técnica e adaptação comportamental. Os operadores não dependem apenas da complexidade do malware. Eles exploram plataformas populares e conteúdos familiares para aumentar taxas de infecção.

Do ponto de vista corporativo, isso amplia os desafios relacionados à conscientização de usuários. Ambientes BYOD (Bring Your Own Device) e dispositivos móveis utilizados para autenticação corporativa tornam-se especialmente vulneráveis quando campanhas conseguem misturar aplicações sociais legítimas com engenharia social avançada.

Além disso, a progressiva substituição da variante anterior sugere um ciclo operacional maduro, no qual os operadores realizam migração controlada de infraestrutura e funcionalidades sem interromper campanhas ativas.

O papel da TON na nova arquitetura C2

A principal inovação técnica da variante TrickMo C está na camada de comunicação de comando e controle. O malware passa a utilizar a blockchain The Open Network (TON) como componente operacional para resolução e encaminhamento de tráfego.

Segundo a ThreatFabric, o APK do host inicializa um proxy TON nativo embutido em uma porta loopback durante o processo de execução. Em seguida, o cliente HTTP do bot encaminha as comunicações C2 através desse proxy.

Na prática, isso significa que as solicitações deixam de depender do DNS público tradicional. Em vez disso, são direcionadas para hostnames .adnl resolvidos internamente na camada TON.

Essa mudança altera profundamente o modelo de defesa normalmente utilizado contra botnets móveis. Estratégias tradicionais baseadas em bloqueio de domínios, derrubada de DNS malicioso e interrupção de hospedagem tornam-se significativamente menos eficazes.

Por que a descentralização dificulta a resposta defensiva

Infraestruturas C2 tradicionais normalmente possuem pontos centralizados de falha. Domínios podem ser apreendidos, servidores podem ser retirados do ar e registros DNS podem ser bloqueados por provedores.

Quando o malware desloca a resolução para uma camada descentralizada como a TON, o processo de mitigação muda completamente. Os endpoints passam a existir como identidades resolvidas dentro da própria rede distribuída.

Isso cria um desafio importante para SOCs, equipes de threat intelligence e plataformas de proteção mobile. O tráfego aparenta ser semelhante ao de aplicações legítimas que utilizam TON, reduzindo a capacidade de diferenciação baseada apenas em comportamento de rede.

Além disso, o malware minimiza ainda mais sua exposição ao utilizar DNS sobre HTTPS (DoH) nas poucas consultas à internet aberta que ainda realiza. Dessa forma, as requisições sequer chegam ao resolvedor DNS local do dispositivo.

O resultado é uma combinação de anonimização, encapsulamento e descentralização que dificulta visibilidade operacional.

O abuso de plataformas legítimas

A ThreatFabric destacou que a TON é uma plataforma descentralizada legítima originalmente criada para o Telegram. Isso é importante porque demonstra uma tendência crescente no ecossistema de ameaças: o abuso de infraestruturas legítimas por operadores maliciosos.

Esse modelo oferece vantagens relevantes para criminosos. Ao utilizar plataformas populares e legítimas, o tráfego malicioso passa a se misturar ao tráfego regular de usuários e aplicações reais.

Do ponto de vista empresarial, isso cria um dilema operacional importante. Bloquear integralmente determinados protocolos ou serviços descentralizados pode impactar aplicações legítimas, enquanto permitir livre utilização amplia a superfície de ataque.

Esse equilíbrio entre segurança, disponibilidade e governança tende a se tornar um dos principais desafios da segurança móvel nos próximos anos.

Capacidades operacionais avançadas do TrickMo

Embora a camada C2 descentralizada seja a principal novidade, o TrickMo continua apresentando um conjunto robusto de funcionalidades ofensivas voltadas para fraude financeira e controle remoto.

O malware utiliza o serviço de acessibilidade do Android para fornecer aos operadores uma visão interativa em tempo real do dispositivo comprometido.

Essa abordagem é particularmente perigosa porque os serviços de acessibilidade possuem permissões legítimas extremamente amplas dentro do sistema operacional. Quando abusados por malware, permitem automação de interações, leitura de conteúdo de tela e manipulação silenciosa da interface.

Phishing via WebView e roubo de credenciais

Entre as funcionalidades observadas estão ataques de phishing utilizando sobreposições WebView. Esse método permite que o malware apresente telas falsas sobre aplicações legítimas.

Na prática, o usuário acredita estar inserindo credenciais em aplicativos bancários reais, enquanto as informações são capturadas diretamente pelo operador.

Esse tipo de técnica continua altamente eficaz porque explora confiança visual e comportamento habitual do usuário. Mesmo organizações com múltiplos fatores de autenticação permanecem vulneráveis quando o dispositivo final é comprometido.

Além disso, o TrickMo também realiza keylogging, ampliando ainda mais a capacidade de coleta de informações sensíveis.

Supressão de notificações OTP

A capacidade de silenciar notificações OTP representa outro componente crítico da cadeia de fraude.

Muitas instituições financeiras ainda utilizam códigos enviados por SMS ou notificações push como segunda camada de autenticação. Ao ocultar essas notificações, o malware reduz a percepção da vítima sobre atividades fraudulentas em andamento.

Isso amplia a janela operacional dos atacantes e dificulta resposta imediata por parte do usuário.

Para empresas, isso reforça a necessidade de revisar continuamente modelos de autenticação móvel e dependência exclusiva de OTPs tradicionais.

Dispositivos infectados como pivôs de rede programáveis

Uma das evoluções mais relevantes da variante está na introdução de um subsistema operacional de rede.

Segundo a ThreatFabric, o malware adiciona comandos capazes de executar funções equivalentes a curl, dnslookup, ping, telnet e traceroute diretamente a partir do dispositivo comprometido.

Isso transforma o smartphone em uma plataforma de reconhecimento operacional dentro da rede à qual está conectado.

Reconhecimento interno em redes corporativas

Em ambientes empresariais, dispositivos móveis frequentemente possuem acesso a redes Wi-Fi corporativas, aplicações internas e serviços autenticados.

Quando um aparelho comprometido ganha capacidades de reconhecimento de rede, ele deixa de representar apenas um risco individual e passa a atuar como ponto de observação interno.

Os operadores conseguem executar testes de conectividade, identificar serviços acessíveis e mapear comportamentos de rede a partir da perspectiva legítima do usuário infectado.

Esse cenário é particularmente crítico em organizações que utilizam segmentação limitada entre dispositivos móveis e infraestrutura corporativa.

Tunelamento SSH e proxy SOCKS5

O malware também incorpora tunelamento em nível de socket utilizando cliente SSH integrado e proxy SOCKS5 autenticado.

Segundo a ThreatFabric, o encadeamento dessas ações cria uma saída de rede programável autenticada diretamente no dispositivo da vítima.

Na prática, isso permite que o tráfego ofensivo aparente originar-se do endereço IP legítimo da vítima, dificultando mecanismos de detecção baseados em reputação ou geolocalização.

Esse tipo de capacidade possui implicações importantes para prevenção de fraude bancária, detecção de anomalias e monitoramento de acesso corporativo.

Sistemas que dependem fortemente de análise de IP ou comportamento geográfico podem ter sua eficácia reduzida quando operadores utilizam o próprio dispositivo legítimo como intermediário operacional.

Funcionalidades reservadas e riscos futuros

A análise da ThreatFabric também identificou permissões NFC completas e a inclusão do framework de hooking Pine dentro da variante.

Embora esses componentes não estejam ativos no código atual, os pesquisadores avaliam que foram provisionados para ativação futura em tempo de execução.

Esse detalhe é importante porque demonstra planejamento arquitetural modular.

Operadores modernos frequentemente distribuem malware com capacidades parcialmente desativadas, ativando funções específicas conforme objetivos operacionais, perfil da vítima ou evolução das campanhas.

Potenciais implicações do NFC

A presença de permissões NFC pode indicar preparação para ataques futuros envolvendo pagamentos móveis, autenticação por proximidade ou clonagem/interceptação de interações NFC.

Mesmo sem evidências de uso atual, a simples presença dessas permissões amplia o potencial de risco da plataforma maliciosa.

Para instituições financeiras e empresas que utilizam autenticação baseada em dispositivos móveis, isso reforça a necessidade de monitoramento contínuo da evolução funcional dessas ameaças.

Frameworks de hooking e expansão operacional

A inclusão do framework Pine sugere potencial para manipulação dinâmica de aplicações e processos.

Frameworks de hooking permitem interceptação de chamadas, modificação de comportamento de aplicativos e ampliação de técnicas de evasão.

Se ativados futuramente, esses recursos podem aumentar significativamente a capacidade do malware de contornar controles de segurança, monitorar aplicações específicas e manipular sessões autenticadas.

Isso demonstra como campanhas modernas operam com modelos evolutivos contínuos, nos quais funcionalidades podem ser adicionadas gradualmente sem necessidade de redistribuir completamente o malware.

Implicações estratégicas para segurança corporativa

A evolução do TrickMo representa mais do que uma ameaça isolada de malware móvel. Ela evidencia uma mudança estrutural no modelo operacional de campanhas Android avançadas.

A combinação entre descentralização, tunelamento, reconhecimento interno e uso de plataformas legítimas dificulta significativamente abordagens tradicionais de defesa.

Para empresas, isso exige amadurecimento das estratégias de segurança mobile.

Limitações de modelos tradicionais de detecção

Ferramentas focadas exclusivamente em assinaturas, reputação de domínio ou análise estática podem apresentar limitações importantes diante de arquiteturas descentralizadas.

Quando a infraestrutura C2 utiliza redes distribuídas e protocolos legítimos, a detecção precisa evoluir para modelos mais comportamentais e contextuais.

Isso inclui monitoramento de padrões anômalos de acessibilidade, análise de comportamento de aplicações e observação de fluxos operacionais incomuns.

Segurança mobile como componente de segurança corporativa

Muitas organizações ainda tratam dispositivos móveis como elementos periféricos da segurança corporativa.

Entretanto, variantes como o TrickMo demonstram que smartphones podem atuar como pontos de entrada, plataformas de fraude e pivôs operacionais simultaneamente.

Ambientes corporativos precisam incorporar proteção mobile dentro de estratégias amplas de Zero Trust, segmentação de rede e monitoramento contínuo.

Além disso, programas de conscientização precisam evoluir para abordar engenharia social móvel, anúncios fraudulentos e abuso de plataformas populares.

Conclusão

A nova variante do TrickMo marca uma evolução relevante no cenário de ameaças móveis ao combinar capacidades tradicionais de fraude bancária com uma infraestrutura C2 descentralizada baseada na TON.

A utilização de identidades .adnl, proxies TON integrados e resolução fora do DNS público reduz significativamente a eficácia de métodos tradicionais de derrubada de infraestrutura maliciosa.

Ao mesmo tempo, as novas funcionalidades de rede transformam dispositivos infectados em pivôs operacionais programáveis capazes de executar reconhecimento, tunelamento e intermediação de tráfego utilizando o próprio ambiente da vítima.

Essa combinação amplia os desafios para equipes de segurança, instituições financeiras e organizações que dependem fortemente de dispositivos móveis para autenticação e acesso corporativo.

A análise da ThreatFabric também demonstra que operadores continuam evoluindo modularmente suas plataformas, adicionando componentes reservados que podem expandir capacidades ofensivas futuramente.

Nos próximos anos, a tendência é que ameaças móveis incorporem cada vez mais mecanismos descentralizados, evasão baseada em protocolos legítimos e modelos operacionais distribuídos.

Para organizações, a resposta exigirá maior integração entre segurança mobile, inteligência de ameaças, monitoramento comportamental e governança de dispositivos conectados.

Mais do que bloquear malware conhecido, o desafio passa a ser compreender como arquiteturas móveis modernas podem ser exploradas como infraestrutura operacional por agentes maliciosos altamente adaptáveis.