Банковский Android-троян TrickMo научился прятать команды в TON

Екатерина Быстрова 12 Мая 2026 - 10:15

...

Банковский Android-троян TrickMo научился прятать команды в TON

Исследователи из ThreatFabric обнаружили новую версию Android-банкера TrickMo, которая получила необычный способ связи с операторами: теперь зловред использует сеть The Open Network (TON) для сокрытия инфраструктуры управления.

TrickMo известен с 2019 года и всё это время активно развивается. Раньше его уже находили в десятках вариантов: например, в 2024 году Zimperium изучила 40 версий банкера, распространявшихся через 16 дропперов и работавших с 22 C2-инфраструктурами.

Новый вариант ThreatFabric отслеживает как Trickmo.C. По данным исследователей, он активен как минимум с января и маскируется под TikTok или приложения для стриминга. Главные цели операторов — банковские приложения и криптокошельки.

Интересная особенность свежей версии — связь с управляющим сервером через TON. На заражённом устройстве запускается локальный TON-прокси, а коммуникации идут через .adnl-адреса. В отличие от обычных доменов, такие адреса не завязаны на публичный DNS, поэтому классические блокировки и изъятия доменов здесь почти не помогают. Для сетевых средств защиты такой трафик выглядит просто как зашифрованный TON-трафик.

Сам TrickMo остаётся модульным зловредом. Сначала на устройство попадает основной APK, который отвечает за загрузку и закрепление, а затем подтягивается дополнительный модуль с основной функциональностью.

Возможности у TrickMo внушительные: фишинговые оверлеи для кражи банковских данных, кейлоггинг, запись и трансляция экрана, перехват СМС, подавление уведомлений с одноразовыми кодами, подмена буфера обмена, фильтрация уведомлений и создание скриншотов.

В новой версии появились и дополнительные команды, включая curl, ping, dnsLookup, telnet, traceroute, SSH-туннелирование, локальный и удалённый проброс портов, а также поддержку SOCKS5-прокси с авторизацией.

Исследователи также заметили в Trickmo.C фреймворк Pine. Ранее его использовали для перехвата сетевых операций и Firebase, но в текущей версии он пока неактивен. Кроме того, зловред запрашивает множество NFC-разрешений, хотя рабочей NFC-функциональности специалисты не нашли.

Пользователям Android традиционно советуют не устанавливать приложения из сторонних источников, держать включённым Play Protect и не раздавать подозрительным приложениям лишние разрешения.

Следующая главная новость »

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!

Екатерина Быстрова 12 Мая 2026 - 09:22

Пассворк Соответствие законодательству РФ Корпорации Менеджеры паролей Соответствие требованиям регуляторов Пассворк

Пассворк стал первым менеджером паролей в России c сертификацией ФСТЭК

Компания Пассворк объявила о получении сертификата ФСТЭК России № 5063 по 4-му уровню доверия. Сертификат выдан 30 апреля 2026 года — Пассворк стал первым российским менеджером паролей, сертифицированным на этом уровне. Пройденная сертификация открывает возможность его применения в системах любого класса защищенности: государственном секторе, банковской сфере, телекоммуникациях и энергетике.

Значение сертификата

4-й уровень доверия — наивысший для коммерческих средств защиты информации в России. Полученный сертификат подтверждает соответствие продукта требованиям безопасности, установленным ФСТЭК России, и разрешает его применение в:

Государственных информационных системах до 1 класса защищенности включительно;
Информационных системах персональных данных до 1 уровня защищенности включительно;
Значимых объектах критической информационной инфраструктуры до 1 категории включительно;
Автоматизированных системах управления до 1 класса защищенности включительно.

Для коммерческих организаций, не подпадающих под обязательные требования регуляторов, сертификат ФСТЭК служит независимым подтверждением надежности продукта. Архитектура, алгоритмы шифрования, механизмы аутентификации и аудита прошли экспертизу регулятора — это снижает риски при выборе решения и упрощает его согласование внутри компании.

Что проверяет ФСТЭК при сертификации

Сертификация проводится в соответствии с требованиями приказа ФСТЭК России № 76 от 2 июня 2020 года. Проверка охватывает три направления:

Технические меры защиты — анализ архитектуры продукта, реализации криптографических алгоритмов, механизмов аутентификации, управления доступом и журналирования событий.
Документация и процессы разработки — оценка проектной и эксплуатационной документации, процессов тестирования, управления уязвимостями и реагирования на инциденты безопасности.
Соответствие нормативным требованиям — подтверждение того, что продукт в полном объеме выполняет требования ФСТЭК к средствам защиты информации соответствующего класса.

Сертификация Пассворка включала работу команды разработки, внутренней службы безопасности и независимых аудиторов.

От сертификации к практике

Для российского рынка появление первого сертифицированного инструмента управления паролями означает закрытие реального пробела в области защиты информации.

«Получение сертификата ФСТЭК — это подтверждение готовности Пассворка работать в самых требовательных системах. Мы стали первым российским менеджером паролей, который может использоваться в инфраструктурах первой категории значимости. Это важный шаг в развитии российского рынка средств защиты информации и реального импортозамещения в сфере безопасности», — Андрей Пьянков, генеральный директор ООО «Пассворк»

Включение Пассворка в перечень сертифицированных продуктов ФСТЭК России позволяет организациям применять его в составе аттестованных систем защиты без дополнительного обоснования перед регулятором.

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!