{"id":666182,"date":"2026-05-11T19:30:00","date_gmt":"2026-05-11T22:30:00","guid":{"rendered":"https:\/\/www.portaltela.com\/noticias\/2026\/05\/11\/virus-bancario-android-disfarcado-de-tiktok-foge-de-bloqueio-em-rede\/"},"modified":"2026-05-11T19:30:00","modified_gmt":"2026-05-11T22:30:00","slug":"virus-bancario-android-disfarcado-de-tiktok-foge-de-bloqueio-em-rede","status":"publish","type":"post","link":"https:\/\/www.portaltela.com\/noticias\/geral\/2026\/05\/11\/virus-bancario-android-disfarcado-de-tiktok-foge-de-bloqueio-em-rede\/","title":{"rendered":"V\u00edrus banc\u00e1rio Android disfar\u00e7ado de TikTok foge de bloqueio em rede"},"content":{"rendered":"<p>O TrickMo.C, a variante mais sofisticada do trojan banc\u00e1rio TrickMo para Android, foi identificada em janeiro de 2026 pela ThreatFabric. O malware usa uma rede descentralizada baseada na The Open Network (TON) para esconder o servidor dos operadores e dificultar a\u00e7\u00f5es de bloqueio. Alvos: usu\u00e1rios de bancos e carteiras de criptomoedas na Fran\u00e7a, It\u00e1lia e \u00c1ustria.<\/p>\n<p>A nova vers\u00e3o n\u00e3o \u00e9 um software novo, mas uma reformula\u00e7\u00e3o t\u00e9cnica importante. Criada para furtividade, a plataforma mant\u00e9m a base antiga com camadas adicionais de resili\u00eancia e resgate de opera\u00e7\u00f5es. Em outubro de 2024, a Zimperium j\u00e1 havia catalogado 40 variantes da fam\u00edlia TrickMo, com 16 aplicativos de distribui\u00e7\u00e3o e 22 infraestruturas de comando e controle.<\/p>\n<p>O malware se disfar\u00e7a de TikTok e de apps de streaming para Android, chegando por meio de APKs distribu\u00eddos fora da Google Play Store. Ao ser instalado, solicita permiss\u00f5es de acessibilidade, explorando-as para obter controle total do dispositivo. A etapa seguinte envolve telas falsas que imitarem apps banc\u00e1rios leg\u00edtimos.<\/p>\n<p>Segundo o relat\u00f3rio da ThreatFabric, o TrickMo.C utiliza o framework MITRE ATT&amp;CK para mapear suas capacidades: distribui\u00e7\u00e3o por phishing, keylogging, tela falsa, controle remoto e mecanismos de resist\u00eancia, como carregamento din\u00e2mico de c\u00f3digo e uso da rede TON como canal de comando.<\/p>\n<h3>Altera\u00e7\u00e3o no canal de comando<\/h3>\n<p>A principal mudan\u00e7a est\u00e1 no canal de comunica\u00e7\u00e3o. Em vez de depender da internet tradicional, o TrickMo.C usa a TON para checagem de comandos. Os endere\u00e7os de comando aparecem como strings criptografadas sob o pseudo-dom\u00ednio .adnl, resolvidos dentro da rede descentralizada. O malware carrega um proxy TON embutido que rotea o tr\u00e1fego localmente.<\/p>\n<p>Essa configura\u00e7\u00e3o dificulta a derrubada de infraestrutura, j\u00e1 que n\u00e3o h\u00e1 dom\u00ednios ou IPs convencionais a serem bloqueados. O tr\u00e1fego de controle chega ao servidor dos operadores por meio de endere\u00e7os .adnl, com tr\u00e1fego TON cifrado que aparenta ser uso leg\u00edtimo da rede.<\/p>\n<p>O conjunto de a\u00e7\u00f5es permite que o dispositivo vire um ponto de sa\u00edda de tr\u00e1fego para fraudes. O malware pode realizar consultas DNS, testes de conectividade, sondagens e requisi\u00e7\u00f5es HTTP, al\u00e9m de tunelamento SSH e um proxy SOCKS5 com autentica\u00e7\u00e3o.<\/p>\n<h3>Impacto operacional<\/h3>\n<p>O uso de um proxy SOCKS5 local exposto por t\u00fanel SSH reverso transforma o celular da v\u00edtima em um n\u00f3 de sa\u00edda de tr\u00e1fego, com apar\u00eancia leg\u00edtima para sistemas de detec\u00e7\u00e3o. Bancos, corretoras e exchanges podem receber sinais de fraude que se originam do dispositivo do usu\u00e1rio.<\/p>\n<p>Entretanto, alguns componentes estavam presentes, mas inativos. O framework Pine, da vers\u00e3o anterior, continua no c\u00f3digo, mas sem hooks. Tamb\u00e9m havia um manifesto com permiss\u00f5es NFC declaradas, contudo nenhum c\u00f3digo NFC ativo foi encontrado at\u00e9 o momento.<\/p>\n<h3>Como se proteger<\/h3>\n<p>Para reduzir o risco, evite instalar APKs fora da Google Play Store. Prefira apps de desenvolvedores conhecidos, minimize o n\u00famero de apps, e mantenha o Google Play Protect ativo. A ThreatFabric recomenda manter o sistema atualizado e usar solu\u00e7\u00f5es de seguran\u00e7a confi\u00e1veis.<\/p>\n<p>As autoridades e fontes de seguran\u00e7a recomendam ficar atento a mensagens ou apps que prometem servi\u00e7os de streaming ou redes sociais. Para mais not\u00edcias de seguran\u00e7a, consulte os canais oficiais de divulga\u00e7\u00e3o e os relat\u00f3rios de pesquisa da ThreatFabric.<\/p>\n<p>Fonte: ThreatFabric, com base em pesquisas divulgadas em janeiro de 2026.<\/p>\n","protected":false},"excerpt":{"rendered":"<ul>\n<li>Pesquisadores da ThreatFabric identificaram, em janeiro de 2026, a variante Trickmo.C do Trojan TrickMo para Android, com comunica\u00e7\u00e3o baseada na The Open Network (TON) e capacidade de transformar dispositivos infectados em n\u00f3s de sa\u00edda de tr\u00e1fego.<\/li>\n<li>O malware \u00e9 distribu\u00eddo disfar\u00e7ado como apps de streaming, imitandos TikTok, e \u00e9 oferecido fora da Google Play Store; ao instalar, pede permiss\u00e3o de acessibilidade para controle total do aparelho.<\/li>\n<li>Com a permiss\u00e3o ativa, o Trickmo.C realiza monitoramento em tempo real da tela, registro de teclas, intercepta\u00e7\u00e3o de mensagens e pode exibir telas falsas de apps banc\u00e1rios para roubar credenciais.<\/li>\n<li>A principal mudan\u00e7a \u00e9 o uso da rede descentralizada TON para o canal de comando e controle, tornando dif\u00edcil derrubar a infraestrutura criminosa, j\u00e1 que n\u00e3o h\u00e1 dom\u00ednios no DNS p\u00fablico.<\/li>\n<li>O malware tamb\u00e9m pode atuar como n\u00f3 de sa\u00edda de tr\u00e1fego, realizando tunelamento SSH e proxy SOCKS5, o que facilita fraudes desde o dispositivo comprometido; componentes NFC e o framework Pine aparecem, mas ainda n\u00e3o est\u00e3o ativos.<\/li>\n<\/ul>\n","protected":false},"author":15,"featured_media":666192,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"summary":"TrickMo.C, trojan bank\u00e1rio para Android disfar\u00e7ado de TikTok, usa rede descentralizada TON para ocultar servidores e transformar aparelhos em n\u00f3s de sa\u00edda de tr\u00e1fego","footnotes":""},"categories":[298,1],"tags":[84,104,86,95,189],"class_list":["post-666182","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-geral","category-noticias","tag-acontecimentos-internacionais","tag-apps","tag-internet","tag-redes-sociais","tag-tecnologia"],"_links":{"self":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/666182","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/comments?post=666182"}],"version-history":[{"count":0,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/666182\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media\/666192"}],"wp:attachment":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media?parent=666182"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/categories?post=666182"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/tags?post=666182"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}