Heute ist der 11.05.2026 und in der Welt der Kryptowährungen gibt es Neuigkeiten, die selbst erfahrene Nutzer aufhorchen lassen sollten. Eine neue Variante der TrickMo Android-Banking-Malware wurde entdeckt, die sich in Europa verbreitet. Ursprünglich 2019 gesichtet, ist TrickMo ein echter Überlebenskünstler in der Malware-Welt – ständig wird an ihr weitergearbeitet. Im Oktober 2024 analysierte das Unternehmen Zimperium über 40 Varianten dieser Malware, die in Verbindung mit 22 verschiedenen Command-and-Control (C2) Infrastrukturen stehen. Das ist ganz schön viel, wenn man bedenkt, dass diese Schadsoftware sensible Daten von Nutzern weltweit ins Visier nimmt. Hier erfährt man mehr über die Hintergründe.
Besonders spannend ist die neueste Variante, die von ThreatFabric als ‚Trickmo.C‘ bezeichnet wird und seit Januar beobachtet wird. Diese Malware tarnt sich als beliebte Apps, wie TikTok oder verschiedene Streaming-Dienste, und hat es speziell auf Bank- und Kryptowallets von Nutzern in Ländern wie Frankreich, Italien und Österreich abgesehen. Das ist schon ein cleverer Schachzug! Neu in der TrickMo-Welt ist die Verwendung von TON-basierten Kommunikationsmethoden. Diese nutzen .ADNL-Adressen, die über einen eingebetteten lokalen TON-Proxy auf dem infizierten Gerät geleitet werden. Für die, die es nicht wissen: TON ist ein dezentrales Peer-to-Peer-Netzwerk, das ursprünglich im Telegram-Ökosystem entstand und für seine verschlüsselte Kommunikation bekannt ist.
Die Funktionalitäten der TrickMo Malware
TrickMo ist alles andere als harmlos. Die modulare Architektur ermöglicht es, als Loader und Persistenzschicht zu agieren und zur Laufzeit neue APK-Module für offensive Funktionen herunterzuladen. Die Malware ist extrem vielseitig: Sie führt Phishing-Angriffe durch, um Bankdaten abzugreifen, kann Keylogging und Bildschirmaufzeichnung vornehmen und sogar SMS abfangen. Das ist wahnsinnig gefährlich! Nutzer sollten sich dessen bewusst sein und dringend Vorsichtsmaßnahmen treffen.
Die neueste Variante hat auch einige neue Tricks auf Lager. Befehle wie curl, dnsLookup, ping und andere Netzwerkoperationen sind nun implementiert. Die Forscher entdeckten sogar das sogenannte Pine-Runtime-Hooking-Framework, das zur Abfangung von Netzwerk- und Firebase-Operationen gedacht ist, aber aktuell inaktiv scheint. Zudem erklärt TrickMo umfangreiche NFC-Berechtigungen und berichtet über NFC-Funktionen in der Telemetrie, auch wenn keine aktive Nutzung dieser Funktionen festgestellt wurde. Das lässt die Frage aufkommen: Was haben die Entwickler damit vor?
Schutzmaßnahmen für Android-Nutzer
Android-Nutzer sollten sich jetzt in Acht nehmen! Es gibt einige einfache, aber effektive Maßnahmen, um sich vor solcher Malware zu schützen. Zum Beispiel sollte Software nur aus dem Google Play Store heruntergeladen werden. Die Anzahl der installierten Apps sollte begrenzt sein und nur Anwendungen von seriösen Anbietern verwendet werden. Außerdem ist es wichtig, dass Play Protect jederzeit aktiv ist. Diese einfachen Schritte können helfen, das Risiko einer Infektion zu minimieren.
Insgesamt zeigt der Fall von TrickMo, wie dynamisch und anpassungsfähig die Malware-Landschaft ist. Die ständige Weiterentwicklung und die Nutzung neuer Technologien, wie der TON-Blockchain, machen es Cyberkriminellen einfacher, ihre Ziele zu erreichen. Daher ist es für jeden Nutzer von Bank- und Kryptowallets unerlässlich, wachsam zu sein und proaktiv Schutzmaßnahmen zu ergreifen. Schließlich ist es besser, auf Nummer sicher zu gehen, als später den Schaden zu reparieren.