Em Alta Copa do Mundo NotíciasAcontecimentos internacionaisPessoasPolíticaConflitos

Converse com o Telinha

Telinha
Oi! Posso responder perguntas apenas com base nesta matéria. O que você quer saber?

Vírus bancário Android disfarçado de TikTok foge de bloqueio em rede

TrickMo.C, trojan bankário para Android disfarçado de TikTok, usa rede descentralizada TON para ocultar servidores e transformar aparelhos em nós de saída de tráfego

Disfarçado de TikTok, vírus bancário para Android foge de bloqueio em rede decentralizada
0:00
Carregando...
0:00
  • Pesquisadores da ThreatFabric identificaram, em janeiro de 2026, a variante Trickmo.C do Trojan TrickMo para Android, com comunicação baseada na The Open Network (TON) e capacidade de transformar dispositivos infectados em nós de saída de tráfego.
  • O malware é distribuído disfarçado como apps de streaming, imitandos TikTok, e é oferecido fora da Google Play Store; ao instalar, pede permissão de acessibilidade para controle total do aparelho.
  • Com a permissão ativa, o Trickmo.C realiza monitoramento em tempo real da tela, registro de teclas, interceptação de mensagens e pode exibir telas falsas de apps bancários para roubar credenciais.
  • A principal mudança é o uso da rede descentralizada TON para o canal de comando e controle, tornando difícil derrubar a infraestrutura criminosa, já que não há domínios no DNS público.
  • O malware também pode atuar como nó de saída de tráfego, realizando tunelamento SSH e proxy SOCKS5, o que facilita fraudes desde o dispositivo comprometido; componentes NFC e o framework Pine aparecem, mas ainda não estão ativos.

O TrickMo.C, a variante mais sofisticada do trojan bancário TrickMo para Android, foi identificada em janeiro de 2026 pela ThreatFabric. O malware usa uma rede descentralizada baseada na The Open Network (TON) para esconder o servidor dos operadores e dificultar ações de bloqueio. Alvos: usuários de bancos e carteiras de criptomoedas na França, Itália e Áustria.

A nova versão não é um software novo, mas uma reformulação técnica importante. Criada para furtividade, a plataforma mantém a base antiga com camadas adicionais de resiliência e resgate de operações. Em outubro de 2024, a Zimperium já havia catalogado 40 variantes da família TrickMo, com 16 aplicativos de distribuição e 22 infraestruturas de comando e controle.

O malware se disfarça de TikTok e de apps de streaming para Android, chegando por meio de APKs distribuídos fora da Google Play Store. Ao ser instalado, solicita permissões de acessibilidade, explorando-as para obter controle total do dispositivo. A etapa seguinte envolve telas falsas que imitarem apps bancários legítimos.

Segundo o relatório da ThreatFabric, o TrickMo.C utiliza o framework MITRE ATT&CK para mapear suas capacidades: distribuição por phishing, keylogging, tela falsa, controle remoto e mecanismos de resistência, como carregamento dinâmico de código e uso da rede TON como canal de comando.

Alteração no canal de comando

A principal mudança está no canal de comunicação. Em vez de depender da internet tradicional, o TrickMo.C usa a TON para checagem de comandos. Os endereços de comando aparecem como strings criptografadas sob o pseudo-domínio .adnl, resolvidos dentro da rede descentralizada. O malware carrega um proxy TON embutido que rotea o tráfego localmente.

Essa configuração dificulta a derrubada de infraestrutura, já que não há domínios ou IPs convencionais a serem bloqueados. O tráfego de controle chega ao servidor dos operadores por meio de endereços .adnl, com tráfego TON cifrado que aparenta ser uso legítimo da rede.

O conjunto de ações permite que o dispositivo vire um ponto de saída de tráfego para fraudes. O malware pode realizar consultas DNS, testes de conectividade, sondagens e requisições HTTP, além de tunelamento SSH e um proxy SOCKS5 com autenticação.

Impacto operacional

O uso de um proxy SOCKS5 local exposto por túnel SSH reverso transforma o celular da vítima em um nó de saída de tráfego, com aparência legítima para sistemas de detecção. Bancos, corretoras e exchanges podem receber sinais de fraude que se originam do dispositivo do usuário.

Entretanto, alguns componentes estavam presentes, mas inativos. O framework Pine, da versão anterior, continua no código, mas sem hooks. Também havia um manifesto com permissões NFC declaradas, contudo nenhum código NFC ativo foi encontrado até o momento.

Como se proteger

Para reduzir o risco, evite instalar APKs fora da Google Play Store. Prefira apps de desenvolvedores conhecidos, minimize o número de apps, e mantenha o Google Play Protect ativo. A ThreatFabric recomenda manter o sistema atualizado e usar soluções de segurança confiáveis.

As autoridades e fontes de segurança recomendam ficar atento a mensagens ou apps que prometem serviços de streaming ou redes sociais. Para mais notícias de segurança, consulte os canais oficiais de divulgação e os relatórios de pesquisa da ThreatFabric.

Fonte: ThreatFabric, com base em pesquisas divulgadas em janeiro de 2026.

Comentários 0

Entre na conversa da comunidade

Os comentários não representam a opinião do Portal Tela; a responsabilidade é do autor da mensagem. Conecte-se para comentar

Veja Mais