欧洲安卓用户最近被一款"假TikTok"盯上了。安全公司ThreatFabric发现,一个活跃近六年的银行木马家族出了新变种,不仅伪装成短视频和流媒体应用,还玩起了区块链隐身术。

这款名为TrickMo.C的恶意软件,最早可以追溯到2019年9月。当时它以TrickMo的名字首次现身,此后持续迭代,到2024年已衍生出40多个变种,通过十余种投放渠道传播,与22个独立的指挥控制(C2)基础设施保持通信。ThreatFabric从2026年1月开始追踪这一最新版本。

打开网易新闻 查看精彩图片

传播方式并不新鲜:第三方应用商店、Telegram频道、社交媒体广告、钓鱼链接、搜索引擎投毒——老牌组合拳。真正让人意外的是它的新伪装。攻击者把恶意代码打包成TikTok或各类流媒体应用,用户下载安装后,木马便在后台启动全套监控。

具体能做什么?ThreatFabric列出了一串功能清单:创建钓鱼覆盖层骗取登录凭证、记录按键和屏幕触控、实时录屏并直播给攻击者、拦截短信、屏蔽一次性密码(OTP)通知、篡改剪贴板内容、过滤系统通知、自动截图。受害者主要分布在法国、意大利和奥地利,攻击者可以神不知鬼不觉地登录银行账户和加密钱包,完成转账支付。

TrickMo.C的真正升级藏在通信层。它放弃了传统的公开服务器,转而使用TON网络——这个去中心化的点对点系统最初围绕Telegram生态开发。木马在感染设备上嵌入本地TON代理,通过ADNL地址与运营者通信。流量经过加密覆盖网络中转,不再暴露固定的服务器地址,追踪和封禁难度陡增。

这不是银行木马第一次蹭热点伪装。短视频和流媒体的高下载量,恰好为恶意软件提供了完美的社会工程掩护。而区块链技术的引入,则让这场猫鼠游戏进入了新阶段——攻击者在用去中心化的基础设施,对抗中心化的安全防御。