TrickMo C : le banker Android passe en mode TON et frappe la France

Ce qui s'est passé

Le chercheur de ThreatFabric a publié dans la nuit du 12 au 13 mai 2026 une analyse approfondie d'une nouvelle souche du trojan bancaire Android TrickMo, baptisée TrickMo C par les analystes. Activement déployée en France, en Italie et en Autriche entre janvier et février 2026, cette variante remplace progressivement les versions antérieures dans le portefeuille d'attaques des opérateurs. Ce qui rend la découverte significative, c'est l'abandon des canaux de commande et de contrôle classiques au profit du réseau décentralisé The Open Network (TON), conçu à l'origine pour Telegram.

Concrètement, TrickMo C n'utilise plus le protocole HTTPS vers un serveur centralisé pour recevoir ses ordres. À la place, le bot établit une connexion pair-à-pair via la blockchain TON, où les opérateurs publient leurs commandes dans des transactions ou des messages chiffrés que les bots vont consulter de façon asynchrone. Cette architecture rend la prise de contrôle judiciaire des infrastructures d'attaque considérablement plus complexe : il n'y a plus de serveur central à saisir, plus de domaine à mettre en sinkhole, plus d'adresse IP à bloquer au niveau des passerelles d'entreprise.

La chaîne d'infection a été identifiée à partir de publicités Facebook utilisant des leurres thématiques TikTok, redirigeant les victimes vers des APK malveillants se faisant passer pour des outils de monétisation ou des applications de streaming. Une fois installé et après avoir obtenu les droits d'accessibilité Android (présentés comme nécessaires pour des « optimisations »), TrickMo C abuse des services d'accessibilité pour offrir à ses opérateurs une vue interactive en temps réel du smartphone compromis : capture d'écran continue, contrôle bidirectionnel complet, keylogger transparent et capacité à supprimer silencieusement les notifications de codes à usage unique reçus par SMS ou applications d'authentification.

Le cœur de l'innovation de TrickMo C réside dans son nouveau sous-système réseau, qui transforme chaque téléphone infecté en pivot programmable au sein du réseau auquel il est connecté. Cinq primitives ont été identifiées par ThreatFabric : curl pour interroger des URL HTTP/S, dnslookup pour résoudre des noms internes, ping et traceroute pour cartographier la topologie, et telnet pour tester l'ouverture de ports. Chacune s'exécute depuis le point de vue du téléphone, exposant ainsi les ressources internes du Wi-Fi d'entreprise ou du réseau domestique de la victime à un attaquant distant. Un canal SOCKS5 vient compléter le dispositif en permettant aux opérateurs de tunneliser n'importe quel trafic à travers le combiné.

Sur le plan des cibles applicatives, TrickMo C dispose d'une bibliothèque de plus de 250 overlays HTML reproduisant les écrans de connexion d'applications bancaires européennes, dont plusieurs banques françaises majeures non nommées publiquement, mais aussi des wallets cryptographiques (MetaMask, Trust Wallet, Coinbase) et des applications d'authentification multifacteur (Google Authenticator, Microsoft Authenticator). Lorsque l'utilisateur ouvre l'application légitime, l'overlay s'affiche par-dessus en quelques millisecondes et capture identifiants, mots de passe et codes OTP saisis. Les données sont exfiltrées via TON après chiffrement local.

La télémétrie collectée par ThreatFabric à partir de pots de miel et de signalements clients indique que les opérateurs ont concentré leurs efforts sur le triangle France-Italie-Autriche, avec des pics d'activité corrélés aux campagnes de phishing par SMS observées par les CERTs sectoriels bancaires. Les charges utiles diffusées en France privilégient les leurres en français autour des plateformes de cashback, de mobilité partagée et d'applications fiscales. Les campagnes italiennes se déguisent davantage en applications de livraison de repas, tandis que les charges autrichiennes s'appuient sur de faux outils Microsoft Teams.

BleepingComputer et SecurityAffairs ont relayé les conclusions de ThreatFabric en pointant le risque inédit posé par cette architecture pour les équipes de défense. The Hacker News a quant à lui souligné que TON est utilisé légitimement par des millions d'utilisateurs Telegram et que tout blocage massif de protocole serait disproportionné. Les enquêteurs néerlandais et italiens auraient déjà saisi la justice pour identifier les portefeuilles TON associés aux campagnes, mais la traçabilité reste limitée par les mixers et services de privacy intégrés à l'écosystème.

Côté défense, ThreatFabric publie une liste préliminaire d'indicateurs de compromission incluant des hashes APK, des wallets TON, des bundle IDs frauduleux et des certificats de signature suspects, à intégrer dans les solutions MTD (Mobile Threat Defense) et MDM. Google a confirmé que Play Protect détecte la majorité des échantillons connus, mais l'installation des APK piégés se fait par sideloading, hors du Play Store, ce qui contourne ces protections natives.

Pourquoi c'est important

L'irruption de TrickMo C dans l'arsenal des banker Android marque une bascule technique aux conséquences durables. La migration des canaux de C2 vers des réseaux décentralisés comme TON, et avant lui Bitcoin et IPFS, transforme l'asymétrie du combat entre attaquants et défenseurs. Les indicateurs de compromission de type domaine ou adresse IP, longtemps colonne vertébrale des feeds de threat intelligence, deviennent inopérants. Les SOC doivent désormais s'orienter vers la détection comportementale au niveau du terminal, ce qui implique des investissements dans les solutions MTD encore minoritaires dans les politiques BYOD françaises.

Le second enjeu réside dans la transformation du smartphone en pivot réseau, qui ouvre des perspectives offensives dépassant largement le simple vol bancaire. Un cadre dirigeant infecté qui se connecte au Wi-Fi d'entreprise expose potentiellement le SI interne à des reconnaissances initiales sans qu'aucun ordinateur géré par l'IT ne soit impliqué. Cette tactique relie le trojan mobile au monde des intrusions APT et brouille la frontière entre cybercriminalité de masse et espionnage ciblé, dans un contexte où plusieurs groupes étatiques ont déjà été observés en train de racheter des accès auprès des opérateurs de banker Android.

Pour la France, la priorisation par TrickMo C s'inscrit dans une montée constante des menaces mobiles. L'observatoire de la cybermenace de l'ANSSI a rappelé dans son panorama 2025 que les attaques sur téléphones Android représentent désormais plus de 20% des incidents grand public traités par cybermalveillance.gouv.fr. Les directions sécurité doivent intégrer dans leurs analyses de risque NIS 2 la possibilité d'une compromission initiale via un smartphone personnel, ce qui suppose la mise en place de politiques d'inscription explicite des équipements (BYOD ou COPE), la séparation des espaces personnel et professionnel par conteneurisation, et la fourniture d'un canal d'authentification forte hors du téléphone pour les opérations sensibles.

Enfin, le cas TrickMo C interpelle les régulateurs financiers. La DSP3 en cours de transposition en France impose des dispositifs renforcés d'authentification, mais l'efficacité d'un facteur OTP envoyé sur un téléphone potentiellement compromis est radicalement remise en cause par ces malwares. Les passkeys liées à des éléments sécurisés matériels et l'usage de seconds canaux totalement indépendants (clés FIDO2 physiques) gagnent en pertinence. Les banques françaises observatrices de TrickMo C devront accélérer leurs roadmaps d'authentification post-OTP sous peine de voir leur exposition juridique et financière croître à mesure que ces architectures décentralisées se généralisent.

Ce qu'il faut retenir

• TrickMo C est une variante avancée du trojan bancaire Android, active en France, en Italie et en Autriche depuis début 2026.
• Son C2 décentralisé via TON et sa capacité à transformer le téléphone en pivot réseau changent radicalement l'équation défensive.
• Renforcer la séparation BYOD/professionnel, basculer vers des mécanismes d'authentification matériels et superviser les terminaux mobiles avec des solutions MTD.