⚡ Points Clés

Les chercheurs de ThreatFabric ont identifié TrickMo C — actif de janvier à février 2026 — routant toutes ses communications C2 via The Open Network (TON) avec des adresses .adnl 256 bits, rendant les prises de contrôle DNS traditionnelles inefficaces. La variante transforme simultanément les appareils Android infectés en nœuds de pivot réseau SOCKS5, permettant aux attaquants d’apparaître comme originaires de la propre adresse IP de la victime face aux systèmes de détection de fraude bancaire.

En résumé: Les chercheurs de ThreatFabric ont identifié TrickMo C — actif de janvier à février 2026 — routant toutes ses communications C2 via The Open Network (TON) avec des adresses .adnl 256 bits, rendant les prises de contrôle DNS traditionnelles inefficaces. La variante transforme simultanément les appare

Lire l’analyse complète ↓

🧭 Radar de Décision

Pertinence pour l’Algérie
Haute
le secteur bancaire mobile algérien en croissance (CCP mobile, applications bancaires) et l’utilisation généralisée des OTP SMS rendent les attaques de type TrickMo directement pertinentes pour les banques et opérateurs fintech algériens
Infrastructure prête ?
Partielle
les banques algériennes ont des systèmes de détection de fraude mais la plupart s’appuient sur la réputation IP plutôt que sur le scoring de cohérence comportementale ; les attaques via pivot SOCKS5 ne sont pas encore intégrées dans les modèles de fraude standard
Compétences disponibles ?
Partielles
l’expertise sécurité mobile existe dans les grandes banques mais les partenariats de renseignement sur les menaces ne sont pas encore standard ; le délai de divulgation de 3 mois de ThreatFabric laisserait les institutions algériennes dans l’ignorance
Horizon d’action
Immédiat
les banques et opérateurs fintech algériens devraient revoir l’authentification OTP-dépendante et ajouter la détection d’abus du service d’accessibilité dans leurs apps mobiles dès le sprint actuel
Parties prenantes clés
Équipes de sécurité des banques algériennes, Banque d’Algérie (supervision réglementaire de la sécurité bancaire), développeurs d’applications bancaires mobiles, architectes sécurité fintech
Assessment: Équipes de sécurité des banques algériennes, Banque d’Algérie (supervision réglementaire de la sécurité bancaire), développeurs d’applications bancaires mobiles, architectes sécurité fintech. Review the full article for detailed context and recommendations.
Type de décision
Tactique
Assessment: Tactique. Review the full article for detailed context and recommendations.

En bref: Le C2 blockchain et le pivot SOCKS5 de TrickMo C représentent une menace directe pour les infrastructures bancaires mobiles algériennes, où les OTP SMS restent le second facteur dominant et la détection de fraude s’appuie sur la réputation IP. Les équipes de sécurité des banques algériennes devraient immédiatement revoir l’architecture d’authentification vers des identifiants liés au device et implémenter la détection d’abus du service d’accessibilité dans leurs apps mobiles.

Publicité

Ce que TrickMo C fait réellement

TrickMo est actif depuis fin 2019, avec 40 variantes documentées sur 22 infrastructures C2 en octobre 2024. L’analyse de ThreatFabric de la dernière variante — TrickMo C — révèle une mise à niveau architecturale significative : le malware a abandonné l’infrastructure internet conventionnelle pour ses communications C2 et migré entièrement vers la blockchain TON.

La capacité d’attaque centrale reste la prise de contrôle de device. TrickMo abuse du service d’accessibilité Android pour donner aux opérateurs une vue interactive en temps réel de l’appareil compromis :

  • Vol d’identifiants : superpositions WebView en plein écran imitant les écrans de connexion bancaire légitimes
  • Interception OTP : suppression silencieuse des SMS ; le cheval de Troie capture et transmet les mots de passe à usage unique
  • Enregistrement d’écran et keylogging : chaque saisie est capturée en parallèle
  • Replay de gestes : les permissions du service d’accessibilité permettent aux opérateurs de rejouer des gestes à distance

Les leurres de TrickMo C, identifiés via les tags de campagne (Tic_Italy_FB, Tic_France_FB, Tic_AT), se distribuent via des sites de phishing se faisant passer pour TikTok ou des apps de streaming. Des cibles en France, Italie et Autriche ont été confirmées de janvier à février 2026.

L’architecture C2 TON — Pourquoi les prises de contrôle de domaines ne fonctionnent plus

L’innovation critique de TrickMo C est la couche de transport C2. Selon la couverture technique de The Hacker News, le malware embarque un proxy TON natif qui démarre sur un port loopback à l’initialisation du processus. Toutes les requêtes C2 transitent par des adresses .adnl — des identités 256 bits résolues dans le réseau overlay décentralisé TON — plutôt que via la hiérarchie DNS publique.

La conséquence pratique : les endpoints de l’opérateur n’existent pas comme noms de domaine enregistrés. Quand les forces de l’ordre ou les fournisseurs de sécurité identifient un serveur C2 TrickMo et demandent à un registrar de le suspendre, il n’y a pas de domaine à suspendre.

Les playbooks de prise de contrôle traditionnels reposaient sur trois étapes : identifier le domaine malveillant, contacter le registrar, forcer la suspension. L’infrastructure TON casse la deuxième étape entièrement.

Publicité

Le pivot SOCKS5 — Comment la détection de fraude est contournée

Au-delà de l’évasion C2, TrickMo C introduit des capacités de proxy SOCKS5 qui transforment les appareils infectés en nœuds de sortie réseau programmables. Selon le reportage de Bleeping Computer, la variante prend en charge les connexions proxy SOCKS5 authentifiées, le port forwarding SSH local et distant, et des commandes de reconnaissance réseau (curl, DNS lookup, ping, traceroute, telnet).

L’implication pour la détection de fraude est significative. Quand un attaquant utilise un outil d’accès distant traditionnel pour se connecter à une app bancaire, la transaction provient d’une IP associée à un VPN ou un datacenter. Les systèmes de détection de fraude signalent ces origines. Avec le pivot SOCKS5 via les appareils infectés par TrickMo, la transaction frauduleuse semble provenir du propre réseau domestique ou d’entreprise de la victime — le même qui a traité des centaines de transactions légitimes précédentes.

Ce que les banques et les équipes fintech doivent faire

1. Passer vers une authentification liée au device, pas seulement aux OTP

TrickMo C intercepte les OTP au niveau SMS ou notification. Toute valeur d’authentification transitant par l’appareil compromis est défaite par défaut. La défense : lier les assertions d’authentification à une clé cryptographique de device enregistrée (passkeys FIDO2, credentials Android Keystore backed par hardware) plutôt qu’à un OTP relayable.

2. Ajouter un scoring d’anomalie réseau sur la cohérence IP intra-session

Parce que le trafic SOCKS5 de TrickMo C semble provenir de l’IP de la victime, la réputation d’IP seule est insuffisante. Le contre-signal est comportemental : l’adresse IP, les caractéristiques réseau et les données de localisation de l’appareil restent-elles cohérentes au sein d’une session ? Une transaction depuis une IP de réseau domestique mais où l’appareil rapporte simultanément une localisation physique différente est une anomalie détectable.

3. Instrumenter votre app bancaire mobile contre l’abus du service d’accessibilité

TrickMo C requiert des permissions de service d’accessibilité. Les banques peuvent instrumenter leurs apps mobiles pour détecter en temps d’exécution si une autre app avec des permissions d’accessibilité tourne — et dégrader la fonctionnalité de session quand c’est le cas. Google Play Protect bloque les variantes connues de TrickMo C, mais sur des signatures ; de nouvelles variantes arrivent en quelques jours après détection. La détection au niveau app de l’abus d’accessibilité est un contrôle compensatoire qui fonctionne contre les nouvelles variantes évasives.

4. Traiter le partage de renseignement sur les menaces comme un contrôle opérationnel

L’identification de TrickMo C par ThreatFabric en janvier-février 2026 a été divulguée publiquement en mai 2026 — un écart de trois mois. Les institutions financières sans partenariats directs de renseignement sur les menaces n’avaient aucune visibilité pendant cette fenêtre. Des relations formelles de partage (adhésions FS-ISAC, accords avec des fournisseurs de sécurité mobile) ferment ce délai.

La vue d’ensemble : le C2 blockchain comme pattern d’infrastructure durable

TrickMo C n’est pas un cas isolé. La migration de l’infrastructure C2 des malwares vers des réseaux décentralisés — TON, IPFS, systèmes DNS blockchain — est une tendance documentée. La propriété qui rend TON attractif pour des applications légitimes de confidentialité le rend attractif comme infrastructure malware. Security Affairs note que ce n’est pas la première famille de malware à adopter TON — c’est la première appliquée à l’ampleur du banking trojan traditionnel.

Pour le secteur bancaire, la transformation requise va de la perturbation réactive de domaines vers la détection côté device proactive, le scoring comportemental de fraude, et une architecture d’authentification sécurisée même quand la couche OS de l’appareil est partiellement compromise.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn
Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Publicité

Questions Fréquentes

Pourquoi TrickMo C utilise-t-il la blockchain TON pour le commandement et contrôle plutôt que des domaines traditionnels ?

La blockchain TON (The Open Network) fournit un adressage décentralisé sans registrar ou autorité unique pouvant répondre à une demande de prise de contrôle. L’infrastructure C2 malveillante traditionnelle repose sur des noms de domaine enregistrés — quand les forces de l’ordre ou les fournisseurs de sécurité identifient un domaine malveillant, ils peuvent contacter le registrar pour forcer sa suspension. TrickMo C utilise des adresses .adnl 256 bits résolues dans le réseau overlay décentralisé TON, ce qui signifie qu’il n’y a pas de domaine à suspendre. Les seuls chemins de suppression efficaces sont de perturber le réseau TON lui-même (impraticable) ou d’empêcher les appareils d’établir la connexion proxy TON initiale via des contrôles au niveau réseau.

Comment le proxy SOCKS5 de TrickMo contourne-t-il les systèmes de détection de fraude bancaire ?

La détection de fraude bancaire mobile traditionnelle s’appuie fortement sur la réputation IP : les transactions provenant de VPN, datacenters ou adresses IP malveillantes connues sont signalées comme suspectes. TrickMo C transforme les appareils Android infectés en nœuds de sortie réseau SOCKS5, ce qui signifie que les transactions frauduleuses semblent provenir du propre réseau domestique ou d’entreprise de la victime — la même IP ayant traité des centaines de transactions légitimes précédemment. Le contre-signal efficace n’est pas la réputation IP mais la cohérence comportementale : si les caractéristiques réseau et de localisation physique de l’appareil restent cohérentes au sein d’une session.

Quelles méthodes d’authentification résistent à l’interception OTP de TrickMo ?

TrickMo C intercepte les mots de passe à usage unique au niveau SMS ou notification push — tout facteur d’authentification transitant par la pile de notifications de l’appareil compromis est défait. L’alternative résistante est l’authentification cryptographique liée au device : les passkeys FIDO2 et les identifiants Android Keystore backed par hardware lient l’assertion d’authentification à une clé de device enregistrée spécifique qui ne peut pas être relayée. Cela n’élimine pas tous les risques (un appareil entièrement compromis peut encore rejouer des gestes), mais élimine le chemin d’attaque le plus simple.

Sources et lectures complémentaires