Blockchain-Technologie schützt mobile Bankräuber

Banking-Trojaner TrickMo: Unsichtbarer Datenraub via TON-Blockchain

Trojaner
LinkedInRedditWhatsApp

Der neue Banking-Trojaner TrickMo nutzt die TON-Blockchain zur Tarnung der Server. Angreifer stehlen via TikTok-Fakes fast unaufspürbar Bankdaten in Europa.

Sicherheitsanalysten von ThreatFabric haben eine technologisch wegweisende Variante der Android-Malware „TrickMo“ identifiziert. Die neue Version, intern als „Trickmo.C“ klassifiziert, markiert eine Zäsur in der mobilen Cyberkriminalität: Erstmals nutzt ein weit verbreiteter Banking-Trojaner die Infrastruktur von „The Open Network“ (TON), um seine Command-and-Control-Kommunikation (C2) vollständig zu verschleiern. Durch den Einsatz dezentraler Peer-to-Peer-Strukturen entzieht sich die Schadsoftware herkömmlichen Abwehrmechanismen wie Domain-Sperren oder DNS-Filtern. Aktuelle Kampagnen nehmen gezielt Bankkunden und Krypto-Besitzer in Frankreich, Italien und Österreich ins Visier.

Anzeige

Digitale Unsichtbarkeit durch .ADNL-Identitäten

Die signifikanteste Neuerung in der Variante Trickmo.C ist der radikale Wechsel der Kommunikationsarchitektur. Während herkömmliche Schadsoftware auf öffentlich erreichbare Internet-Server (IP-Adressen oder Domains) angewiesen ist, nutzt TrickMo das TON-Netzwerk als verschlüsseltes Overlay-Netzwerk. Die Kommunikation mit den Servern der Hintermänner erfolgt über sogenannte .ADNL-Adressen (Abstract Datagram Network Layer).

Dabei handelt es sich um 256-Bit-Identifikatoren anstelle klassischer Domains. Auf dem infizierten Android-Gerät installiert die Malware einen lokalen TON-Proxy, über den der gesamte Datenverkehr geroutet wird. Da dieser Datenstrom innerhalb des dezentralen TON-Netzwerks verläuft, ist er für Netzwerk-Sicherheitstools am „Edge“, dem Übergang vom Gerät zum Internet, nicht von legitimem TON-Traffic zu unterscheiden. Herkömmliche „Takedowns“ durch Behörden oder Provider sind faktisch wirkungslos, da die Endpunkte der Betreiber nicht im öffentlichen DNS-Verzeichnis existieren und somit nicht zentral abgeschaltet werden können. Die IP-Adressen und Kommunikations-Ports der eigentlichen Serverinfrastruktur bleiben dadurch verborgen.

Infektionswege über TikTok und Video-Streaming-Dienste

TrickMo wird in den aktuellen Kampagnen primär als legitime Anwendung getarnt, die außerhalb des offiziellen Google Play Stores verbreitet wird. Besonders häufig nutzen die Angreifer Kopien von populären Apps wie TikTok oder verschiedene Video-Streaming-Dienste als Köder. Sobald ein Nutzer die präparierte APK-Datei installiert, beginnt ein zweistufiger Prozess:

Anzeige
  • Host-APK: Fungiert als Loader und stellt die Persistenz auf dem Gerät sicher.
  • Runtime-Modul: Eine nachgeladene APK-Datei, welche die offensiven Spionage-Funktionen implementiert.

Die Forscher von ThreatFabric beobachten diese Version bereits seit Januar 2026 und weisen darauf hin, dass die Qualität der Tarnung stetig zunimmt, um auch moderne verhaltensbasierte Scanner zu umgehen. Die Malware zielt dabei spezifisch auf Banking-Apps und Kryptowährungs-Wallets ab.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Umgehung der Zwei-Faktor-Authentifizierung

Der Banking-Trojaner ist darauf spezialisiert, Anmeldedaten für Finanz-Apps und Kryptowährungs-Wallets in Echtzeit zu entwenden. Hierfür nutzt er sogenannte Phishing-Overlays. Dabei legt sich ein vom Angreifer gesteuertes, täuschend echtes Fenster über die Original-App der Bank. Der Nutzer gibt seine Daten in dieses Fenster ein, die daraufhin direkt an die Hacker übermittelt werden.

Um den Diebstahl zu vollenden, verfügt TrickMo über weitreichende Berechtigungen zum Abfangen und Manipulieren von Kurzmitteilungen (SMS). Die Malware liest Einmal-Passwörter (OTP) für die Zwei-Faktor-Authentifizierung (2FA) aus und löscht die entsprechenden Benachrichtigungen sofort vom Bildschirm. Das Opfer bemerkt die unautorisierte Transaktion oft erst, wenn das Konto bereits leergeräumt ist. Ergänzt wird dies durch Keylogging, Screen-Recording und ein Live-Streaming des Bildschirms, was den Tätern die vollständige Kontrolle über die digitale Identität des Opfers gibt. Auch das Auslesen von Zwischenablagen und das Filtern von Benachrichtigungen gehören zum Funktionsumfang.

Das Smartphone als krimineller Brückenkopf

Neu in der Variante Trickmo.C ist die Integration professioneller Netzwerk-Werkzeuge. Die Analysten stellten fest, dass die Malware nun Befehle unterstützt, die weit über den bloßen Datendiebstahl hinausgehen. In der folgenden Tabelle sind die wichtigsten neuen Kommandos aufgeführt:

BefehlFunktion im kriminellen Kontext
SSH-TunnelingAufbau verschlüsselter Verbindungen für Fernzugriffe.
Port ForwardingWeiterleitung von Anfragen in das lokale Netzwerk (WLAN).
SOCKS5 ProxyNutzung des Handys als anonymer Proxy für andere Angriffe.
dnsLookup / TracerouteAnalyse der Netzwerkinfrastruktur des Opfers.

Durch diese Funktionen verwandelt TrickMo das infizierte Smartphone in einen Proxy-Server innerhalb des Heim- oder Firmennetzwerks des Opfers. Die Angreifer können ihren eigenen kriminellen Datenverkehr über das Gerät des Nutzers tunneln, was die Rückverfolgung zum eigentlichen Ursprung des Angriffs nahezu unmöglich macht. Zudem ermöglicht diese Technik das Eindringen in andere Geräte innerhalb desselben WLAN-Netzwerks.

Dauerhafte Bedrohung durch Banking-Trojaner TrickMo

Seit seinem ersten Auftauchen im September 2019 wurde TrickMo kontinuierlich weiterentwickelt. Ein Bericht von Zimperium aus dem Oktober 2024 analysierte bereits 40 Varianten der Malware, die über 16 verschiedene Dropper verteilt wurden und mit 22 unterschiedlichen C2-Infrastrukturen kommunizierten. Die aktuelle Adaption der TON-Blockchain zeigt, dass die Entwickler hinter TrickMo über erhebliche Ressourcen verfügen und modernste Web3-Technologien für kriminelle Zwecke zweckentfremden.

Interessanterweise entdeckten die Forscher im aktuellen Code auch das „Pine runtime hooking framework“. Obwohl dieses Framework, das zur Interzeption von Netzwerk- und Firebase-Operationen dient, derzeit noch inaktiv ist, deutet seine Präsenz auf geplante Erweiterungen hin. Auch NFC-Berechtigungen werden bereits abgefragt, was auf künftige Funktionen zum Auslesen kontaktloser Bezahldaten hindeutet.

Sicherheitsvorkehrungen für Android-Nutzer

Die technologische Aufrüstung von Trojanern wie TrickMo erfordert eine erhöhte Wachsamkeit der Anwender. Da klassische Netzsperren durch die Blockchain-Technik umgangen werden, rückt der Schutz des Endgeräts in den Fokus.

Sicherheitsexperten empfehlen dringend:

  • Installation nur aus offiziellen Quellen: Apps sollten niemals als APK-Dateien von Drittanbieter-Webseiten heruntergeladen werden.
  • Prüfung der Bedienungshilfen: TrickMo benötigt oft Zugriff auf die „Accessibility Services“. Gewähren Sie diese Rechte nur Apps, denen Sie absolut vertrauen.
  • Aktive Schutzmechanismen: Play Protect sollte dauerhaft aktiviert sein, um schädliche Aktivitäten im Hintergrund zu erkennen.
  • Reputable Publisher: Nutzen Sie bevorzugt Anwendungen bekannter Entwickler und reduzieren Sie die Anzahl der installierten Apps auf ein notwendiges Minimum.


Autorenbild Lisa Löw

Lisa

Löw

Junior Online-Redakteurin

IT-Verlag

Anzeige
Trojaner
14. Mai 2026
Banking-Trojaner TrickMo: Unsichtbarer Datenraub via TON-Blockchain
SAP
14. Mai 2026
SAP investiert in n8n: KI-Agenten rücken in Enterprise-Prozesse
Open AI Daybreak Bildquelle: Screenshot / openai.com
14. Mai 2026
OpenAI launcht Daybreak: KI-Offensive gegen Software-Schwachstellen
Funkwellen
14. Mai 2026
ISAC: Funkwellen sehen ohne Kameras

Weitere Artikel

SAP investiert in n8n: KI-Agenten rücken in Enterprise-Prozesse
OpenAI launcht Daybreak: KI-Offensive gegen Software-Schwachstellen
ManageWP-Phishing: Hacker nutzen Google Ads für AiTM-Angriffe
Bechtle-Tochter Bücker IT-Security kooperiert mit smart2success
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.