Falešný TikTok znovu útočí. Nový malware krade bankovní účty i kryptoměny
Zdroj: Shutterstock
Bezpečnostní experti varují před novou verzí bankovního trojanu TrickMo.C, který se na Androidu vydává za TikTok nebo streamovací aplikace. Malware cílí hlavně na uživatele ve Francii, Itálii a Rakousku a nově využívá blockchainovou síť TON.
Bankovní malware TrickMo patří mezi nejnebezpečnější hrozby, které se v posledních letech na Androidu objevily. Bezpečnostní společnost ThreatFabric nyní upozornila na novou variantu označovanou jako TrickMo.C, kterou výzkumníci sledují od ledna 2026. Podle jejich zjištění se malware znovu šíří Evropou a útočníci výrazně změnili způsob, jakým se snaží vyhnout odhalení.
Nejnovější verze se maskuje jako populární aplikace včetně TikTok nebo různých streamovacích služeb. Uživatel má pocit, že instaluje běžnou aplikaci pro sledování videí, ve skutečnosti ale do telefonu pustí pokročilý bankovní trojan.
Útočníci vidí obrazovku i SMS kódy
TrickMo není žádná novinka. Poprvé byl zaznamenán už v září 2019, jenže od té doby se neustále vyvíjí. Už v roce 2024 bezpečnostní analytici evidovali více než 40 variant tohoto malwaru. Každá nová verze přidává další schopnosti, které útočníkům umožňují efektivněji krást peníze i přístupové údaje.
Aktuální varianta TrickMo.C dokáže překrývat legitimní bankovní aplikace falešnými přihlašovacími okny. Oběť tak sama zadá své heslo nebo údaje ke kartě přímo útočníkům. Malware zároveň umí zaznamenávat stisky kláves, sledovat dotyky na displeji nebo pořizovat screenshoty.
Výzkumníci upozorňují i na další nebezpečné funkce. Trojan dokáže zachytávat SMS zprávy a skrývat jednorázové ověřovací kódy pro dvoufázové přihlášení. V některých případech umí dokonce živě streamovat obsah obrazovky přímo útočníkům. Ti tak mohou sledovat, co uživatel v telefonu právě dělá.
Právě kombinace těchto funkcí umožňuje zločincům přihlašovat se do internetového bankovnictví nebo kryptopeněženek prakticky bez povšimnutí. Oběť často zjistí problém až ve chvíli, kdy z účtu zmizí peníze.
Podle ThreatFabric je největší změnou způsob komunikace malwaru s útočníky. Starší varianty využívaly klasické servery, které mohly bezpečnostní firmy nebo policie odstavit. TrickMo.C ale nově komunikuje přes decentralizovanou síť TON.
TON je blockchainová infrastruktura původně spojená s ekosystémem Telegram. Díky decentralizaci je výrazně složitější sledovat provoz nebo blokovat servery, přes které malware přijímá příkazy. Bezpečnostní analytici upozorňují, že podobný trend může být pro budoucí malware velmi nebezpečný.
Zdroje:
