Laporan terbaru dari ThreatFabric mengungkap evolusi berbahaya dari malware perbankan Android kawakan, TrickMo. Varian terbaru yang dilacak sebagai ‘Trickmo.C’ kini menggunakan protokol The Open Network (TON) untuk komunikasi Command-and-Control (C2), membuatnya jauh lebih licin dan sulit dideteksi oleh sistem keamanan tradisional.
Malware ini telah aktif sejak Januari 2026 dan menargetkan pengguna di Prancis, Italia, dan Austria, terutama mereka yang menggunakan aplikasi perbankan dan dompet kripto.
Mengapa Penggunaan TON Sangat Berbahaya?
TON adalah jaringan peer-to-peer terdesentralisasi (awalnya dikembangkan oleh tim Telegram) yang memungkinkan komunikasi melalui jaringan overlay terenkripsi.
- Alamat .ADNL: Alamat ini tidak menggunakan sistem DNS publik, melainkan identitas terenkripsi di dalam jaringan TON.
- Anti-Takedown: Karena tidak bergantung pada DNS tradisional atau IP server yang terekspos publik, otoritas keamanan tidak bisa sekadar memblokir domain untuk mematikan operasinya.
- Kamuflase Trafik: Trafik malware ini terlihat identik dengan aplikasi sah lainnya yang menggunakan TON, sehingga sistem deteksi di pinggiran jaringan (network edge) tidak bisa membedakannya.
Modus Operandi: Menyamar Jadi TikTok
TrickMo menyebar melalui kampanye yang menyamar sebagai aplikasi populer untuk memancing korban:
- TikTok (Versi palsu)
- Aplikasi Streaming Video
Setelah terinstal, malware ini akan meminta izin aksesibilitas yang luas untuk menguasai perangkat secara penuh.
Fitur & Perintah Baru: Lebih dari Sekadar Pencuri Password
TrickMo adalah malware modular dua tahap. Tahap pertama (loader) memastikan persistensi, sementara tahap kedua (modul runtime) menjalankan fungsi serangan. Selain fitur standar seperti keylogging dan screen recording, varian ‘Trickmo.C’ menambahkan kemampuan teknis yang biasanya ditemukan pada alat peretasan profesional:
| Perintah Baru | Fungsi Utama |
| SSH Tunneling | Membuat jalur enkripsi aman untuk kontrol jarak jauh. |
| Port Forwarding | Membelokkan trafik jaringan dari/ke perangkat korban. |
| SOCKS5 Proxy | Mengubah ponsel korban menjadi server proxy untuk menyembunyikan aktivitas peretas. |
| curl / traceroute | Alat diagnostik jaringan untuk memetakan infrastruktur korban. |
Catatan Peneliti: TrickMo juga ditemukan meminta izin NFC secara ekstensif. Meskipun fitur pencurian data via NFC belum aktif, ini menunjukkan bahwa pengembangnya sedang mempersiapkan fitur untuk menguras saldo kartu pembayaran tanpa kontak di masa depan.
Langkah Pencegahan untuk Pengguna Android
Mengingat kemampuannya yang bisa membajak layar secara live dan memfilter notifikasi OTP (One-Time Password), perlindungan terbaik adalah pencegahan di pintu masuk:
- Hanya Google Play: Jangan pernah menginstal aplikasi (APK) dari luar Play Store, terutama yang ditawarkan melalui iklan atau situs tidak dikenal.
- Aktifkan Play Protect: Pastikan fitur keamanan bawaan Google ini selalu aktif untuk memindai aplikasi berbahaya.
- Cek Izin Aplikasi: Curigalah jika aplikasi sederhana (seperti pemutar video) meminta izin aksesibilitas atau kontrol notifikasi.
- Hapus Aplikasi Tidak Terpakai: Semakin sedikit aplikasi, semakin kecil celah serangan (attack surface) pada ponsel Anda.