أطلق باحثون في الأمن السيبراني تحذيرات بشأن ظهور نسخة جديدة من حصان طروادة المصرفي TrickMo تستهدف مستخدمي الهواتف العاملة بنظام أندرويد، معتمدة على شبكة The Open Network (TON) كقناة للتحكم والسيطرة (C2)، إضافة إلى قدرات متقدمة في إنشاء محاور شبكية عبر بروتوكول SOCKS5.
خلفية عن TrickMo وتاريخه
ظهر TrickMo لأول مرة في عام 2019، حيث رُصد من قبل CERT-Bund وIBM X-Force، وتميز بقدرته على استغلال خدمات الوصول في أندرويد لسرقة كلمات المرور المؤقتة (OTP). ومنذ ذلك الحين، تطور ليصبح أداة استيلاء على الأجهزة (Device Takeover Malware) تمنح المهاجم سيطرة شبه كاملة على الهاتف، بما في ذلك تسجيل ضغطات المفاتيح، بث الشاشة المباشر، اعتراض الرسائل النصية، وتنفيذ عمليات تصيد لبيانات الاعتماد.
خصائص النسخة الجديدة “TrickMo C”
النسخة الأخيرة، التي رُصدت بين يناير وفبراير 2026 من قبل ThreatFabric، تحمل اسم TrickMo C، وتستهدف مستخدمي البنوك ومحافظ العملات الرقمية في فرنسا وإيطاليا والنمسا. أبرز ما يميزها هو:
- استخدام ملف APK ديناميكي محمّل وقت التشغيل (“dex.module”)، مزود بقدرات جديدة مثل الاستطلاع الشبكي، إنشاء أنفاق SSH، وتفعيل وكيل SOCKS5.
- تضمين وكيل TON محلي مدمج، يعمل على منفذ داخلي، بحيث تمر جميع طلبات التحكم والسيطرة عبر نطاقات “.adnl” داخل شبكة TON، ما يجعل اكتشافها أو حجبها أكثر صعوبة.
- توزيعها عبر تطبيقات مزيفة تتنكر كنسخ معدلة من TikTok على فيسبوك، بينما يتخفى البرنامج الخبيث نفسه في صورة خدمات Google Play.
قدرات الشبكة والتحكم
النسخة الجديدة لا تقتصر على سرقة بيانات الاعتماد، بل تحوّل الأجهزة المصابة إلى محاور شبكية قابلة للبرمجة، حيث يمكن للمهاجم تنفيذ أوامر مثل curl وdnslookup وping وtelnet وtraceroute، ما يمنحه قدرة على الاستطلاع الشبكي من موقع الضحية، سواء في الشبكات المنزلية أو المؤسسية.
كما أن ميزة SOCKS5 تجعل الجهاز المصاب بمثابة عقدة خروج للشبكة، ما يسمح بتمرير حركة مرور ضارة وكأنها صادرة من شبكة المستخدم الشرعية، وهو ما يعقد جهود كشف الاحتيال القائم على عناوين IP.
مؤشرات على توسع القدرات المستقبلية
رغم أن بعض الخصائص لم تُفعّل بعد، مثل دمج إطار Pine Hooking وإضافة صلاحيات واسعة مرتبطة بـ NFC، إلا أن وجودها يشير إلى نية المطورين توسيع قدرات البرمجية لاحقًا لتشمل مجالات جديدة من الاستغلال.
ويؤكد الباحثون أن اعتماد TrickMo على شبكة TON يقلل من فعالية أساليب الحجب التقليدية، إذ يمتزج نشاطه مع حركة المرور الشرعية للشبكة، ما يجعل رصده أكثر تعقيدًا.
