Venerdi 26 Giugno 2026 04:03:05 GMT+02:00

Netcrook

HomeManifesto
News
Corporate Security IncidentsCloud, SaaS & Identity SecurityIndustrial Cybersecurity & Critical InfrastructureCyber Intelligence, TrendsAI Security & Agentic SystemsCyber Intelligence & Threat TrendsCyber WarfareCyber Warfare & Nation-State OperationsCyber CriminalityBreaches & Data LeaksCybercrimeMalware & BotnetsRansomware & ExtortionSecurity Awareness & Social EngineeringLegal PolicyLegal, Policy & Government CybersecurityPrivacy, Regulation & ComplianceTechnology, InnovationTechnology, Innovation & Digital InfrastructureVulnerabilities Patch ManagementResearch, Exploits & Offensive SecurityVulnerabilities & Patch Management
Techcrook
Tutte le tecnologieIdentita e accessoFirewall e reteBackup e archiviazioneEnergia e continuitaPrivacy e sicurezza fisicaLaboratorio e prototipazioneStampa e tracciabilitaTecnologia quotidiana
Geocrook
AfricaAsiaEuropeMiddle EastNorth AmericaOceaniaSouth America
WikicrookTeamAppContatti
ItalianoEnglishArabic
Malware e botnet

Il nuovo trucco di TrickMo: il malware bancario Android si affida a TON per la furtività

11 Maggio 2026 11:41Malware e botnetSIGNALMONK

Una nuova variante di TrickMo che prende di mira utenti in tutta Europa aggiunge nuovi comandi e usa The Open Network per un comando-e-controllo nascosto, aumentando il costo della disruption per i difensori.

Introduzione

Il malware bancario per dispositivi mobili raramente resta immobile a lungo, ma l’ultima variazione di TrickMo mostra un tipo di adattamento più sofisticato. La famiglia è ora collegata a campagne rivolte a utenti in tutta Europa, e la nuova build osservata aggiunge comandi mentre utilizza comunicazioni basate su TON per mantenere il contatto con i suoi operatori. Questa combinazione è importante perché mostra un toolkit dell’attaccante progettato non solo per infettare i telefoni, ma anche per mantenere utili quelle infezioni quando aumenta la pressione della rilevazione.

Fatti rapidi

  • TrickMo è una famiglia di malware bancario per Android.
  • Una nuova variante è stata collegata a campagne che prendono di mira utenti in tutta Europa.
  • La variante introduce nuovi comandi, suggerendo uno sviluppo attivo.
  • Utilizza The Open Network, o TON, per comunicazioni furtive di comando-e-controllo.
  • In questa fase, l’identità completa dell’operatore e l’entità dell’impatto restano non confermate.

Corpo

Il significato tecnico non è solo che TrickMo è cambiato, ma come è cambiato. I nuovi comandi di solito indicano che una famiglia di malware viene estesa per nuovi compiti: ricevere istruzioni, modificare il comportamento o supportare ulteriori flussi di lavoro dell’operatore. In termini pratici, questo può rendere un trojan più flessibile e più difficile da mappare con una logica di rilevamento più datata.

L’uso di TON per il comando-e-controllo furtivo è la scelta più insolita. I livelli di rete e blockchain pubblici possono offrire ai criminali un’opzione infrastrutturale più difficile da trattare come un normale problema di hosting. Invece di dipendere solo da un piccolo set di server evidenti, le comunicazioni del malware possono essere legate a una piattaforma più ampia che i difensori non possono bloccare con la stessa semplicità. Ciò non rende il malware invisibile, ma può complicare il takedown, il filtraggio e l’attribuzione rapida.

Per i difensori, la lezione è pensare oltre l’app stessa. Un trojan bancario è spesso solo la punta visibile dell’operazione; il vero rischio risiede in ciò che può fare una volta che ha ottenuto un punto d’appoggio sul dispositivo. Anche senza dettagli confermati su ogni capacità di questa ondata, la combinazione di un banker mobile, nuovi comandi e comunicazioni furtive indica uno sforzo dell’operatore focalizzato su persistenza e controllo.

Le informazioni pubbliche non hanno ancora stabilito in modo completo la causa tecnica alla radice, l’intera portata degli utenti colpiti o se i sistemi downstream siano stati compromessi.

Questa cautela è importante. Il malware bancario Android spesso si basa sulla fiducia dell’utente, sull’abuso dei permessi e su rapidi cambiamenti dell’infrastruttura. Quando un operatore inizia a usare canali meno convenzionali come TON, i difensori hanno bisogno di una migliore igiene dei dispositivi, controlli più rigidi sull’installazione delle app e monitoraggio basato sul comportamento, anziché affidarsi solo a blocklist.

Conclusione

L’ultima evoluzione di TrickMo ricorda che il malware mobile moderno sta diventando tanto un problema di infrastruttura quanto un problema di endpoint. Il vero insegnamento è semplice: quando gli attaccanti possono cambiare sia il payload sia il livello di comunicazione, i difensori devono osservare l’intera catena, non solo lo schermo del telefono.

WIKICROOK

  • Malware bancario Android: software malevolo progettato per rubare credenziali finanziarie o controllare sessioni bancarie su dispositivi Android.
  • Command-and-control (C2): il canale che il malware usa per ricevere istruzioni dagli operatori e inviare dati di ritorno.
  • Variante: una versione modificata del malware che aggiunge, rimuove o modifica funzionalità.
  • TON: The Open Network, una piattaforma blockchain e di rete usata qui come base per comunicazioni furtive del malware.
  • Logica di rilevamento: regole di sicurezza, analisi o controlli comportamentali usati per individuare attività sospette.
SIGNALMONK
AutoreSIGNALMONK

Malware e botnet