⚡ أبرز النقاط

رصد باحثو ThreatFabric متغير TrickMo C — النشط من يناير إلى فبراير 2026 — وهو يوجّه جميع اتصالاته مع خادم C2 عبر شبكة The Open Network (TON) باستخدام عناوين .adnl بحجم 256 بت، مما يُعطّل تمامًا الاستراتيجيات التقليدية لإيقاف النطاقات. يُحوّل المتغير في آنٍ واحد الأجهزة Android المصابة إلى عُقد توجيه شبكي عبر SOCKS5، مما يسمح للمهاجمين بأن تبدو معاملاتهم الاحتيالية صادرةً من عنوان IP الضحية نفسها أمام أنظمة كشف الاحتيال المصرفي.

الخلاصة: رصد باحثو ThreatFabric متغير TrickMo C — النشط من يناير إلى فبراير 2026 — وهو يوجّه جميع اتصالاته مع خادم C2 عبر شبكة The Open Network (TON) باستخدام عناوين .adnl بحجم 256 بت، مما يُعطّل تمامًا الاستراتيجيات التقليدية لإيقاف النطاقات. يُحوّل المتغير في آنٍ واحد الأجهزة Android المصابة إلى عُقد توجيه

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الأهمية بالنسبة للجزائر
عالية
قطاع المصرفية المتنامي عبر الجوال في الجزائر (CCP موبايل، تطبيقات البنوك) والاعتماد الواسع على OTP عبر الرسائل القصيرة يجعلان هجمات TrickMo وثيقة الصلة بالبنوك الجزائرية ومشغّلي التكنولوجيا المالية
هل البنية التحتية جاهزة؟
جزئيًا
البنوك الجزائرية لديها أنظمة كشف احتيال لكن معظمها يعتمد على سمعة IP لا تسجيل درجات الاتساق السلوكي؛ هجمات التوجيه عبر SOCKS5 لم تُدرَج بعد في نماذج الاحتيال القياسية
هل الكفاءات متوفرة؟
جزئيًا
خبرة أمن الجوال موجودة في البنوك الكبرى لكن شراكات استخبارات التهديدات ليست معيارًا بعد؛ فجوة الإفصاح لمدة 3 أشهر من ThreatFabric ستترك المؤسسات الجزائرية في جهل بالتهديد
الجدول الزمني للإجراء
فوري
يجب على البنوك ومشغّلي التكنولوجيا المالية الجزائريين مراجعة المصادقة المعتمدة على OTP وإضافة كشف إساءة استخدام خدمة الوصول في التطبيقات المحمولة خلال دورة التطوير الحالية
الجهات المعنية الرئيسية
فرق أمن البنوك الجزائرية وبنك الجزائر (الرقابة التنظيمية على أمن البنوك) ومطوّرو تطبيقات المصرفية المحمولة ومعماريو أمن التكنولوجيا المالية
Assessment: فرق أمن البنوك الجزائرية وبنك الجزائر (الرقابة التنظيمية على أمن البنوك) ومطوّرو تطبيقات المصرفية المحمولة ومعماريو أمن التكنولوجيا المالية. Review the full article for detailed context and recommendations.
نوع القرار
تكتيكي
Assessment: تكتيكي. Review the full article for detailed context and recommendations.

خلاصة سريعة: يُمثّل C2 البلوكتشين والتوجيه عبر SOCKS5 في TrickMo C تهديدًا مباشرًا للبنى التحتية للمصرفية المحمولة الجزائرية، حيث تظل OTP الرسائل القصيرة عامل التحقق الثاني السائد وكشف الاحتيال يعتمد على سمعة IP. يجب على فرق أمن البنوك الجزائرية مراجعة بنية المصادقة فورًا نحو بيانات اعتماد مقيّدة بالجهاز وتطبيق كشف إساءة استخدام خدمة الوصول في تطبيقاتها المحمولة.

إعلان

ما الذي يفعله TrickMo C فعلًا

TrickMo نشط منذ أواخر 2019، مع 40 متغيرًا موثقًا عبر 22 بنية تحتية لـ C2 في أكتوبر 2024. يكشف تحليل ThreatFabric للمتغير الأخير — TrickMo C — عن ترقية معمارية جوهرية: تخلّى البرنامج الخبيث عن البنية التحتية التقليدية لاتصالات C2 وانتقل كليًا إلى بلوكتشين TON.

قدرة الهجوم الأساسية هي الاستيلاء على الجهاز. يسيء TrickMo استخدام خدمة الوصول في Android لمنح المشغلين رؤية تفاعلية فورية للجهاز المخترق:

  • سرقة بيانات الاعتماد: تراكبات WebView تملأ الشاشة وتُحاكي شاشات تسجيل الدخول المصرفية الحقيقية
  • اعتراض OTP: كتم الرسائل القصيرة بصمت؛ يلتقط حصان طروادة كلمات المرور لمرة واحدة ويعيد توجيهها
  • تسجيل الشاشة وتسجيل النقرات: التقاط كل إدخال بشكل متوازٍ
  • إعادة تشغيل الإيماءات: صلاحيات خدمة الوصول تسمح للمشغلين بإعادة تشغيل الإيماءات عن بُعد

تُوزَّع إغراءات TrickMo C عبر مواقع تصيد تتنكر في هيئة TikTok أو تطبيقات بث. تأكدت استهدافات في فرنسا وإيطاليا والنمسا من يناير إلى فبراير 2026.

بنية C2 على TON — لماذا إيقاف النطاقات لم يعد يجدي

يحمل البرنامج الخبيث وكيل TON محليًا مُضمَّنًا يبدأ على منفذ loopback عند تهيئة العملية. جميع طلبات C2 تمر عبر عناوين .adnl — هويات 256 بت تُحلَّل داخل شبكة TON اللامركزية — بدلًا من هرمية DNS العامة.

النتيجة العملية: لا توجد نطاقات مسجلة يمكن تعطيلها. حين تحدد جهات إنفاذ القانون أو موردو الأمن خادم C2 لـ TrickMo وتطلب من جهة تسجيل النطاقات تعليقه، لا يوجد نطاق للتعليق. بنية TON تُبطل الخطوة الثانية من playbook التعطيل التقليدي كليًا.

إعلان

بروكسي SOCKS5 — كيف يُهزم كشف الاحتيال

تُقدّم TrickMo C قدرات بروكسي SOCKS5 تحوّل الأجهزة المصابة إلى عُقد خروج شبكية قابلة للبرمجة. وفقًا لتقرير Bleeping Computer، يدعم المتغير اتصالات بروكسي SOCKS5 مصادقة، وإعادة توجيه منافذ SSH محلية وبعيدة، وأوامر استطلاع شبكي.

الأثر على كشف الاحتيال بالغ الأهمية. حين يستخدم المهاجم أداة وصول عن بُعد تقليدية لتسجيل الدخول إلى تطبيق مصرفي، تنشأ المعاملة من عنوان IP مرتبط بـ VPN أو مركز بيانات — تُعلّمه أنظمة كشف الاحتيال. مع التوجيه عبر SOCKS5 من خلال أجهزة مصابة بـ TrickMo، تبدو المعاملة الاحتيالية صادرةً من شبكة الضحية المنزلية أو المؤسسية — الشبكة ذاتها التي نفّذت مئات المعاملات المشروعة سابقًا.

ما يجب على البنوك وفرق المالية التقنية فعله

1. التحول نحو مصادقة مقيّدة بالجهاز، بدلًا من الاعتماد على OTP فحسب

تعترض TrickMo C الـ OTP على مستوى الرسائل القصيرة أو الإشعارات. أي عامل مصادقة يمر عبر الجهاز المخترق يُبطَل افتراضيًا. الحل الدفاعي: ربط تأكيدات المصادقة بمفتاح تشفير خاص بالجهاز المسجّل (passkeys FIDO2، بيانات اعتماد Android Keystore المدعومة بالأجهزة) بدلًا من OTP قابل للتوسيط.

2. إضافة تسجيل درجة للشذوذ الشبكي بحسب اتساق IP داخل الجلسة

بما أن حركة SOCKS5 لـ TrickMo C تبدو صادرةً من IP الضحية، فإن سمعة IP وحدها غير كافية. الإشارة المضادة سلوكية: هل تظل عنوان IP الجهاز وخصائص الشبكة وبيانات الموقع الجغرافي متسقة خلال جلسة واحدة؟ معاملة صادرة من IP شبكة منزلية لكن الجهاز يُبلّغ في آنٍ واحد عن موقع جغرافي مختلف هي شذوذ قابل للرصد.

3. تزويد تطبيقك المصرفي بأدوات رصد لإساءة استخدام خدمة الوصول

تتطلب TrickMo C صلاحيات خدمة الوصول. يمكن للبنوك تزويد تطبيقاتها المحمولة بأدوات رصد زمن التشغيل للكشف عن وجود تطبيق آخر بصلاحيات وصول يعمل في الخلفية — وتقليص وظائف الجلسة عند اكتشاف ذلك. يحظر Google Play Protect المتغيرات المعروفة من TrickMo C على أساس البصمات؛ المتغيرات الجديدة تصدر في غضون أيام من الاكتشاف. الكشف على مستوى التطبيق من إساءة استخدام خدمة الوصول هو ضابط تعويضي يعمل ضد المتغيرات المتهرّبة الجديدة.

4. معاملة تبادل معلومات التهديدات كضابط تشغيلي

تحديد ThreatFabric لـ TrickMo C في يناير-فبراير 2026 نُشر علنيًا في مايو 2026 — فجوة ثلاثة أشهر. المؤسسات المالية التي لا تمتلك شراكات مباشرة لاستخبارات التهديدات لم تكن لديها رؤية خلال تلك النافذة. علاقات التبادل الرسمية (عضويات FS-ISAC، اتفاقيات ثنائية مع موردي أمن الجوال) تُغلق هذه الفجوة الزمنية.

الصورة الكبرى: C2 على البلوكتشين كنمط بنية تحتية دائم

TrickMo C ليس حالة معزولة. يلاحظ Security Affairs أن الانتقال إلى شبكات C2 لامركزية — TON وIPFS وأنظمة DNS على البلوكتشين — اتجاه موثق عبر فئات المهاجمين. الخاصية التي تجعل TON جذابًا للتطبيقات الشرعية الحافظة للخصوصية هي نفسها التي تجعله جذابًا كبنية تحتية لبرامج خبيثة.

بالنسبة لقطاع البنوك، يتطلب التحول الانتقال من تعطيل النطاقات رد فعلي إلى الكشف الاستباقي على الجانب الجهاز، وتسجيل درجات الاحتيال السلوكي، وهندسة مصادقة آمنة حتى عندما تكون طبقة نظام التشغيل للجهاز مخترقة جزئيًا.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn
تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

إعلان

الأسئلة الشائعة

لماذا تستخدم TrickMo C بلوكتشين TON للتحكم والسيطرة بدلًا من النطاقات التقليدية؟

يوفر بلوكتشين TON (The Open Network) عنونةً لامركزية لا يوجد فيها مسجِّل أو جهة واحدة يمكنها الاستجابة لطلب إيقاف. البنية التحتية التقليدية لـ C2 الخبيثة تعتمد على أسماء نطاقات مسجّلة — حين تحدّد جهات إنفاذ القانون أو موردو الأمن نطاقًا خبيثًا، يمكنهم التواصل مع المسجِّل لإجبار تعليقه. تستخدم TrickMo C عناوين .adnl بحجم 256 بت تُحلَّل داخل شبكة TON اللامركزية، مما يعني عدم وجود نطاق للتعليق. مسارات الإيقاف الفعّالة الوحيدة هي تعطيل شبكة TON ذاتها (أمر غير عملي) أو منع الأجهزة من إنشاء الاتصال الأولي ببروكسي TON عبر ضوابط على مستوى الشبكة.

كيف يُهزم بروكسي SOCKS5 لـ TrickMo أنظمة كشف الاحتيال المصرفي؟

يعتمد كشف الاحتيال في مصرفية الجوال التقليدية بشكل كبير على سمعة IP: المعاملات الصادرة من شبكات VPN أو مراكز البيانات أو عناوين IP الخبيثة المعروفة تُعلَّم كمريبة. تُحوّل TrickMo C الأجهزة Android المصابة إلى عُقد خروج شبكي SOCKS5، مما يعني أن المعاملات الاحتيالية تبدو صادرةً من شبكة الضحية المنزلية أو المؤسسية — نفس IP الذي نفّذ مئات المعاملات المشروعة سابقًا. الإشارة المضادة الفعّالة ليست سمعة IP بل الاتساق السلوكي: ما إذا كانت خصائص شبكة الجهاز وبيانات الموقع الجغرافي تظل متسقة خلال جلسة واحدة.

ما طرق المصادقة المقاومة لاعتراض OTP من قِبل TrickMo؟

تعترض TrickMo C كلمات المرور لمرة واحدة على مستوى الرسائل القصيرة أو إشعارات الدفع — أي عامل مصادقة يمر عبر مكدس الإشعارات في الجهاز المخترق يُبطَل افتراضيًا. البديل المقاوم هو المصادقة التشفيرية المقيّدة بالجهاز: passkeys FIDO2 وبيانات اعتماد Android Keystore المدعومة بالأجهزة تربط تأكيد المصادقة بمفتاح جهاز مسجّل محدد لا يمكن توسيطه من قِبل مهاجم يتحكم في طبقة الإشعارات. هذا لا يُزيل جميع المخاطر (جهاز مخترق كليًا يمكنه إعادة تشغيل الإيماءات) لكنه يُزيل مسار الهجوم الأبسط.

المصادر والقراءات الإضافية