NERDMANTrickMo tarnt sich in der TON-Blockchain
Sicherheitsforscher von ThreatFabric haben eine neue Variante des Android-Banking-Trojaners TrickMo entdeckt. Sie nutzt erstmals die TON-Blockchain, um ihre Command-and-Control-Server zu verstecken — klassische Takedowns laufen damit ins Leere.
Was konkret passiert ist
Die Variante „Trickmo.C" verbreitet sich über gefälschte TikTok-Ads. Wer klickt, installiert sich die Malware selbst aufs Android-Phone. Danach liest TrickMo Banking-Apps mit, fängt SMS-TANs ab und überlagert Login-Screens mit gefälschten Eingabemasken.
Zahlen zum Angriff
- Erstmals** — Mobile-Malware nutzt TON-Blockchain als C2-Infrastruktur
- TikTok-Ads** — Hauptverbreitungskanal der Trojaner-Variante
- Europa** — Hauptzielregion für die Bankdaten-Diebstähle
- Android** — betroffene Plattform, iOS bisher außen vor
Pro (für die Angreifer)
- Server-Adressen liegen in der Blockchain — nicht abschaltbar
- Domain-Blocklisten und IP-Sperren wirkungslos
- TikTok-Reichweite liefert frische Opfer im Minutentakt
- Overlay-Angriffe umgehen klassische 2FA per SMS
Con (für die Verteidiger)
- Keine Beschlagnahmung der C2-Server möglich
- Forensik kommt an die Blockchain-Transaktionen nicht ran
- Antivirus-Signaturen hinken der neuen Tarnung hinterher
- Banken müssen neue Detection-Modelle bauen
💡 Was das bedeutet
Die Blockchain-Tarnung kippt das bisherige Spielfeld. Bisher war „Server beschlagnahmen" die schnellste Antwort auf Banking-Trojaner — jetzt geht das nicht mehr. Wer Online-Banking auf Android macht, sollte Apps nur aus dem offiziellen Play Store ziehen und TikTok-Werbelinks komplett ignorieren.
