這篇技術分析將帶領大家了解近期發現的 Android 銀行木馬 TrickMo 的新變體。對於初入行的工程師來說,最重要的一點是:現代惡意軟體已經不再滿足於單純地偷錢,而是將受害者的設備轉化為進入企業內部網路的跳板。
TrickMo 的進化:從盜款工具到網路滲透工具
TrickMo 是一款早在 2019 年就出現的設備接管木馬,其核心能力是濫用 Android 的輔助功能 Accessibility Services(原意是為了幫助身障人士操作手機,但被惡意軟體利用來自動點擊、讀取螢幕內容)。透過這個權限,它能攔截一次性密碼 OTP、記錄鍵盤輸入、截圖甚至遠端控制螢幕,從而盜取銀行與加密貨幣錢包的資金。
然而,最新的變體版本將其定位從單純的金融盜竊,升級成了網路偵察與跳板工具。它不再只關注用戶的帳戶餘額,而是將受感染的手機變成一個可編程的網路樞紐,讓攻擊者能透過這支手機,進一步攻擊該手機所連接的家用或企業內部網路。
隱匿 C2 通訊:利用 TON 區塊鏈繞過封鎖
在網路安全中,C2 指的是 Command and Control(命令與控制伺服器),是惡意軟體接收指令的後台。傳統的 C2 通常依賴 DNS 或固定 IP,這讓資安人員很容易透過封鎖特定域名或 IP 來切斷攻擊者的聯繫。
TrickMo 的新變體採取了一種極其狡猾的手段:它利用了 The Open Network (TON) 區塊鏈。它在手機內部啟動一個本地代理伺服器,將所有 C2 請求導向 .adnl 域名。這種做法將指令隱藏在區塊鏈的對等網路流量中,使得傳統的網路流量分析工具難以將其與正常的 TON 區塊鏈活動區分開來,極大地增加了封鎖的難度。
將手機轉化為網路跳板:SOCKS5 與 SSH 隧道
這款木馬最危險的更新在於其網路操作子系統。它內建了類似於遠端 Shell 的功能,支持 curl、dnslookup、ping 等指令。這意味著攻擊者可以把受害者的手機當成一台 Linux 終端機,對其所在的內部網路進行掃描(Reconnaissance)。
更進一步地,它實現了 SOCKS5 代理功能。SOCKS5 是一種網路傳輸協定,允許將流量轉發到另一個伺服器。當手機被設定為 SOCKS5 代理伺服器時,攻擊者發出的惡意流量會先經過這支手機,再發送到目標銀行或電商平台。
對攻擊者而言,這解決了兩個核心問題:第一,繞過基於 IP 的欺詐檢測,因為流量看起來像是來自於真實用戶的家用網路,而非可疑的資料中心 IP;第二,建立一個網路跳板(Network Pivot),讓攻擊者能以受害者的身份進入原本無法從外部訪問的私有網路。
傳播路徑與未來風險
目前的傳播手段依然依賴社交工程。攻擊者透過 Facebook 分發偽裝成 TikTok 成人版本的安裝包,這些安裝包實際上是 Dropper(下載器),其作用是在運行時從後台動態下載真正的惡意模組 dex.module。這種動態加載技術可以有效規避靜態掃描工具的偵測。
值得注意的是,研究人員在代碼中發現了尚未啟用的 Pine Hooking 框架以及 NFC 相關權限。這暗示了開發者正計劃在未來增加更強的系統攔截能力或透過 NFC 進行近場攻擊。
總結與實務建議
對於開發者與使用者而言,這次的案例提醒我們: 第一,絕對不要授予不明應用程式的輔助功能權限。 第二,企業內部網路不能僅依賴邊界防火牆,必須實施零信任架構,因為一旦員工的手機被植入此類木馬,攻擊者就已經在你的內網之中。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。