Pesquisadores da empresa de cibersegurança ThreatFabric identificaram uma nova versão do trojan bancário TrickMo, malware voltado para dispositivos Android.
Batizada de TrickMo.C, a nova variante apresenta mudanças técnicas importantes que tornam sua identificação e bloqueio muito mais difíceis.
Segundo os especialistas, usuários de bancos digitais e carteiras de criptomoedas em países como França, Itália e Áustria estão entre os principais alvos da campanha.
O que é o TrickMo
O TrickMo é um malware bancário para Android descoberto pela primeira vez em 2019.
Desde então, ele passou por diversas atualizações, tornando-se cada vez mais sofisticado.
Em 2024, a empresa de segurança Zimperium já havia identificado dezenas de versões diferentes do trojan.
Agora, a variante TrickMo.C é considerada a atualização mais avançada da família, trazendo uma estrutura completamente reformulada para aumentar a furtividade e dificultar sua remoção.
Como o malware infecta celulares
O malware está sendo distribuído por meio de aplicativos falsos que imitam plataformas populares, como o TikTok e aplicativos de transmissões ao vivo.
Esses arquivos são distribuídos fora da loja oficial Google Play Store.
Após a instalação, o aplicativo solicita permissões de acessibilidade ao usuário.
Esse recurso foi criado para auxiliar pessoas com deficiência no uso do celular, mas está sendo explorado pelos criminosos para assumir o controle total do aparelho.
Com essa permissão ativa, o malware consegue:
- Visualizar a tela em tempo real
- Registrar tudo o que é digitado
- Interceptar mensagens SMS
- Capturar notificações
- Ocultar códigos de autenticação
- Exibir telas falsas de aplicativos bancários para roubo de senhas
Principal novidade: uso de rede descentralizada
A maior inovação da nova versão está na forma como ela se comunica com os criminosos.
O TrickMo.C passou a usar a The Open Network, conhecida como TON.
Essa rede descentralizada foi originalmente desenvolvida dentro do ecossistema do Telegram.
Na prática, isso dificulta muito o trabalho de autoridades e empresas de segurança.
Normalmente, malwares dependem de servidores hospedados em endereços IP tradicionais, que podem ser localizados e derrubados.
Com a TON, a comunicação ocorre por meio de endereços criptografados que não utilizam o sistema convencional da internet.
Isso torna praticamente impossível interromper o contato entre o malware e seus operadores pelos métodos tradicionais.
Celulares infectados podem ser usados em fraudes financeiras
Outro ponto preocupante é que o malware transforma o celular da vítima em uma espécie de ponto de acesso remoto para os criminosos.
Com isso, eles conseguem usar a conexão real da vítima para realizar operações fraudulentas.
Isso pode incluir:
- Consultas de rede
- Testes de conexão
- Requisições completas à internet
- Criação de túneis criptografados
Na prática, bancos e corretoras podem interpretar uma fraude como se ela estivesse sendo realizada diretamente pelo verdadeiro usuário, já que o acesso parte do IP legítimo da vítima.
Funções ainda não ativadas preocupam pesquisadores
Os especialistas também encontraram no código funções que ainda não estão sendo utilizadas, mas que podem ser ativadas futuramente.
Entre elas estão recursos ligados à tecnologia NFC, usada em pagamentos por aproximação.
A suspeita é que os criminosos estejam preparando futuras versões capazes de explorar esse tipo de funcionalidade.
Como se proteger
Para reduzir o risco de infecção por esse tipo de malware, especialistas recomendam:
Baixe aplicativos apenas da Google Play Store
Evite instalar arquivos APK obtidos em sites externos.
Desconfie de pedidos de acessibilidade
Aplicativos comuns raramente precisam desse tipo de permissão.
Mantenha o Play Protect ativo
O sistema ajuda a detectar aplicativos suspeitos.
Atualize o sistema operacional regularmente
Correções de segurança reduzem vulnerabilidades.
Evite instalar apps desconhecidos
Prefira sempre desenvolvedores reconhecidos.
O caso mostra como malwares para Android estão evoluindo rapidamente e utilizando tecnologias cada vez mais sofisticadas para escapar da detecção e ampliar o alcance de fraudes digitais.
