Una nuova variante di TrickMo, uno dei malware bancari Android più longevi in circolazione, si è aggiornata per comunicare con i suoi operatori attraverso la rete TON (The Open Network), rendendosi praticamente invisibile agli strumenti di sicurezza tradizionali. E tra i Paesi nel mirino c’è esplicitamente l’Italia.
Cosa fa TrickMo e perché questa versione è diversa
TrickMo esiste dal 2019 ed è rimasto in sviluppo attivo per anni. La variante attuale, tracciata da ThreatFabric come Trickmo.C e monitorata almeno da gennaio 2026, si nasconde dentro app camuffate da TikTok o da app di streaming.
Una volta installata, ruba credenziali bancarie con overlay di phishing, registra lo schermo, intercetta gli SMS e sopprime le notifiche OTP. In pratica, prende il controllo silenzioso del tuo banking mobile.
⚠️ Attenzione: Francia, Italia e Austria sono i tre Paesi europei esplicitamente citati come target di questa campagna. Se usi app bancarie su Android, leggi tutto.
La mossa tecnica che cambia tutto: TON al posto dei server tradizionali
Qui sta il vero salto di qualità rispetto alle versioni precedenti. Come spiega l’analisi di ThreatFabric pubblicata oggi, il malware usa la rete TON , quella decentralizzata nata nell’ecosistema Telegram , per comunicare con chi lo controlla, tramite un proxy TON locale che gira direttamente sul dispositivo infetto.
Il risultato è brutalmente efficace: i blocchi DNS tradizionali non funzionano perché TON non usa il sistema DNS pubblico, e il traffico cifrato è indistinguibile da qualsiasi altra app che usa TON legittimamente. Bloccare il dominio del server di comando, la tattica classica usata da polizia e provider, qui non attacca.
📌 Da sapere: TON usa identificatori a 256 bit chiamati .ADNL invece di normali indirizzi IP, nascondendo sia il server reale che la porta di comunicazione. Chi gestisce l’infrastruttura dei provider non vede nulla di anomalo.
Quanto è difficile da rimuovere, e cosa fare adesso
💡 L’analisi: Adottare TON per il C2 è una mossa che altri gruppi malware copieranno presto: abbassa i costi operativi degli attaccanti e alza i costi difensivi per chiunque gestisca sicurezza di rete. Le app bancarie italiane dovranno integrare rilevamento comportamentale on-device, non solo blacklist di domini.
Il malware dichiara anche permessi NFC estesi, che per ora non sembrano attivi, e include il framework di hooking Pine, anch’esso inattivo al momento. Che ci siano funzionalità in costruzione è un dettaglio che non mi rassicura per niente.
Le indicazioni pratiche di ThreatFabric sono le solite, ma in questo caso vanno prese sul serio: scarica app solo da Google Play, verifica l’identità degli sviluppatori prima di installare qualsiasi cosa, e tieni Play Protect sempre attivo. Per chi vuole capire meglio come Android gestisce i processi AI di sistema che girano in background, abbiamo già analizzato come funziona AICore su Android , capire la struttura ti aiuta a distinguere processi legittimi da quelli sospetti.
Io stesso uso app bancarie su Android ogni giorno, e questa storia mi ha fatto controllare manualmente la lista delle app installate con una certa attenzione. Il fatto che TrickMo si travesta da TikTok è il dettaglio che più mi preoccupa, perché è esattamente il tipo di app che tanti installano da store alternativi o tramite APK scaricati da fonti non ufficiali.
Il problema vero è che TrickMo.C non è pensato per chi è distratto: è pensato per passare inosservato anche a chi fa attenzione. E l’Italia è nel mirino in modo esplicito, non per caso.
, Giorgio
Stay tech 🦾
