Invadir contas bancárias – Pesquisadores da ThreatFabric identificaram, em janeiro de 2026, uma nova variante do trojan bancário TrickMo para Android. Batizada de Trickmo.C, a versão representa a reformulação técnica mais avançada da família de malwares desde sua descoberta, em 2019, trazendo uma arquitetura de comunicação baseada em rede descentralizada e novos recursos voltados à evasão de sistemas de segurança.
Segundo os especialistas, usuários de bancos e carteiras de criptomoedas na França, Itália e Áustria estão entre os principais alvos da campanha.
LEIA: Elite chinesa recorre a gêmeos digitais e IA para antecipar riscos à saúde
O TrickMo foi detectado pela primeira vez em setembro de 2019 e, desde então, passou por diversas atualizações. Em outubro de 2024, a empresa de segurança Zimperium havia catalogado 40 variantes do malware, distribuídas por meio de 16 aplicativos diferentes e associadas a 22 infraestruturas distintas de comando e controle.
A nova versão, porém, não é tratada como um malware inédito, mas como uma reconstrução profunda da plataforma já existente, agora focada em furtividade e resistência a tentativas de bloqueio.
Aplicativos falsos simulam TikTok e plataformas de streaming
As campanhas analisadas pelos pesquisadores utilizam aplicativos fraudulentos que imitam o TikTok e serviços de transmissão ao vivo. Os arquivos são distribuídos fora da Google Play Store, geralmente por meio de APKs instalados manualmente pelas vítimas.
Após a instalação, o aplicativo solicita permissões de acessibilidade do Android. Embora o recurso tenha sido desenvolvido para auxiliar pessoas com deficiência no uso do dispositivo, o trojan explora essa autorização para assumir o controle do aparelho.
De acordo com a ThreatFabric, o próprio malware utiliza automação para pressionar o usuário a conceder o acesso. Com a permissão ativa, os operadores conseguem visualizar a tela em tempo real, registrar tudo o que é digitado, interceptar SMS e notificações, ocultar mensagens contendo senhas temporárias e até exibir telas falsas que imitam aplicativos bancários legítimos para roubo de credenciais.
Rede TON dificulta derrubada da infraestrutura criminosa
A principal mudança técnica do Trickmo.C está na forma de comunicação com os operadores do esquema. Em vez de utilizar a infraestrutura tradicional da internet, o malware passou a operar por meio da TON, a The Open Network, rede descentralizada criada originalmente dentro do ecossistema do Telegram.
Em sistemas convencionais, servidores utilizados por criminosos podem ser identificados por nomes de domínio e endereços IP, permitindo que empresas de segurança e autoridades solicitem a remoção dessas estruturas. Na TON, porém, os servidores usam identificadores criptografados sob o pseudo-domínio “.adnl”, resolvidos internamente pela própria rede descentralizada, sem dependência do DNS público.
O malware incorpora um proxy TON executado localmente no aparelho infectado. Todo o tráfego de comando e controle passa por esse mecanismo antes de chegar aos operadores.
Para ferramentas de monitoramento, o tráfego aparece apenas como comunicação criptografada da rede TON, sem distinção clara entre atividades legítimas e maliciosas. Como os endereços utilizados não existem no sistema convencional de DNS, os métodos tradicionais de remoção de domínios deixam de funcionar.
Dispositivos infectados podem ser usados em fraudes financeiras
Além do roubo de dados, a nova variante amplia as capacidades de exploração dos aparelhos comprometidos. O malware permite que os operadores realizem consultas DNS, testes de conectividade ICMP, rastreamento de rotas, sondagens TCP e requisições HTTP diretamente a partir do celular da vítima.
O Trickmo.C também implementa tunelamento SSH e um proxy SOCKS5 com autenticação. Segundo os pesquisadores, a combinação dessas funções pode transformar o dispositivo infectado em um nó de saída de tráfego cifrado e autenticado.
Na prática, conexões fraudulentas passam a parecer legítimas para bancos, corretoras e exchanges de criptomoedas, já que os acessos surgem a partir do endereço IP real do usuário infectado. Isso reduz a eficácia de sistemas antifraude baseados em análise de origem de conexão.
Componentes inativos indicam possíveis expansões futuras
A análise da ThreatFabric também identificou componentes presentes no código do malware que ainda não estão ativos.
Entre eles está o framework Pine, utilizado anteriormente para interceptar chamadas de rede e comunicações com o Firebase. Embora continue inicializado na nova variante, nenhum hook ativo foi encontrado.
O aplicativo também declara permissões completas relacionadas ao uso de NFC e envia aos operadores informações sobre a compatibilidade do dispositivo com a tecnologia. Apesar disso, os pesquisadores não localizaram funções NFC efetivamente utilizáveis na versão atual.
A interpretação da equipe é que os operadores estejam mapeando aparelhos compatíveis e preparando a infraestrutura para futuras atualizações remotas, sem necessidade de reinstalar o aplicativo malicioso.
Como reduzir o risco de infecção
Especialistas recomendam que usuários instalem aplicativos apenas pela Google Play Store e evitem APKs obtidos em fontes externas. Também é indicado limitar a quantidade de aplicativos instalados, priorizar softwares de desenvolvedores conhecidos e manter o Google Play Protect ativado no dispositivo.
(Com informações de Olhar Digital)
(Foto: Reprodução/Magnific/Dragana_Gordic)
