Une nouvelle version du cheval de Troie TrickMo, ciblant les opérations bancaires sur Android, a été découverte. Ce logiciel malveillant, une évolution d’une famille nuisible signalée depuis 2019, représente une menace sérieuse.
Les analystes notent que ce cheval de Troie bancaire s’est développé activement au fil des années avec de nombreuses modifications. Ses précédentes variantes ont déjà fait l’objet d’études par des chercheurs en sécurité. Une nouvelle campagne observée depuis le début de l’année confirme son activité en Europe.
TrickMo : Déguisement sous des applications populaires et nouvelles méthodes de communication
La société ThreatFabric a identifié la dernière version de TrickMo. Ce logiciel malveillant se camoufle sous des applications populaires telles que des clients TikTok ou des services de streaming. Il cible particulièrement les utilisateurs d’applications bancaires et de cryptomonnaies en France, en Italie et en Autriche.
La principale nouveauté réside dans l’utilisation de l’infrastructure réseau The Open Network (TON) pour une communication cachée avec les serveurs de commande. Des adresses ADNL et des mécanismes de proxy locaux sont utilisés directement sur les appareils infectés. Cette approche complique la détection de l’infrastructure serveur réelle, car les adresses IP traditionnelles et les ports sont masqués derrière des identifiants cryptographiques.
Fonctionnalités avancées : un risque accru pour la sécurité
Fonctionnellement, ce cheval de Troie peut réaliser un large éventail d’actions nuisibles : interception de données bancaires via des superpositions de phishing, keylogging, enregistrement et diffusion d’écran en temps réel, interception de SMS, ainsi que blocage des codes de confirmation à usage unique.
Les spécialistes en cybersécurité soulignent l’importance pour les utilisateurs d’être particulièrement prudents lors de l’installation d’applications en dehors des magasins officiels, notamment du Google Play Store. Ils recommandent également de télécharger uniquement des programmes provenant de développeurs vérifiés. Cela reste un moyen fondamental de réduire le risque d’infection par ces chevaux de Troie bancaires.
