{"id":18579,"date":"2026-05-12T11:53:26","date_gmt":"2026-05-12T14:53:26","guid":{"rendered":"https:\/\/fenati.org.br\/?p=18579"},"modified":"2026-05-12T15:57:23","modified_gmt":"2026-05-12T18:57:23","slug":"virus-disfarca-tiktok-invadir-contas-bancarias","status":"publish","type":"post","link":"https:\/\/fenati.org.br\/en\/virus-disfarca-tiktok-invadir-contas-bancarias\/","title":{"rendered":"V\u00edrus se disfar\u00e7a de aplicativo do TikTok para invadir contas banc\u00e1rias"},"content":{"rendered":"<p><strong>Invadir contas banc\u00e1rias &#8211;<\/strong> Pesquisadores da ThreatFabric identificaram, em janeiro de 2026, uma nova variante do trojan banc\u00e1rio TrickMo para Android. Batizada de Trickmo.C, a vers\u00e3o representa a reformula\u00e7\u00e3o t\u00e9cnica mais avan\u00e7ada da fam\u00edlia de malwares desde sua descoberta, em 2019, trazendo uma arquitetura de comunica\u00e7\u00e3o baseada em rede descentralizada e novos recursos voltados \u00e0 evas\u00e3o de sistemas de seguran\u00e7a.<\/p>\n<p>Segundo os especialistas, usu\u00e1rios de bancos e carteiras de criptomoedas na Fran\u00e7a, It\u00e1lia e \u00c1ustria est\u00e3o entre os principais alvos da campanha.<\/p>\n<p><a href=\"https:\/\/fenati.org.br\/en\/elite-chinesa-recorre-gemeos-digitais-ia-prevencao\/\" target=\"_blank\" rel=\"noopener\"><strong>LEIA: Elite chinesa recorre a g\u00eameos digitais e IA para antecipar riscos \u00e0 sa\u00fade<\/strong><\/a><\/p>\n<p>O TrickMo foi detectado pela primeira vez em setembro de 2019 e, desde ent\u00e3o, passou por diversas atualiza\u00e7\u00f5es. Em outubro de 2024, a empresa de seguran\u00e7a Zimperium havia catalogado 40 variantes do malware, distribu\u00eddas por meio de 16 aplicativos diferentes e associadas a 22 infraestruturas distintas de comando e controle.<\/p>\n<p>A nova vers\u00e3o, por\u00e9m, n\u00e3o \u00e9 tratada como um malware in\u00e9dito, mas como uma reconstru\u00e7\u00e3o profunda da plataforma j\u00e1 existente, agora focada em furtividade e resist\u00eancia a tentativas de bloqueio.<\/p>\n<p><strong>Aplicativos falsos simulam TikTok e plataformas de streaming<\/strong><\/p>\n<p>As campanhas analisadas pelos pesquisadores utilizam aplicativos fraudulentos que imitam o <a href=\"https:\/\/pt.wikipedia.org\/wiki\/TikTok\" target=\"_blank\" rel=\"noopener nofollow\">TikTok<\/a> e servi\u00e7os de transmiss\u00e3o ao vivo. Os arquivos s\u00e3o distribu\u00eddos fora da Google Play Store, geralmente por meio de APKs instalados manualmente pelas v\u00edtimas.<\/p>\n<p>Ap\u00f3s a instala\u00e7\u00e3o, o aplicativo solicita permiss\u00f5es de acessibilidade do Android. Embora o recurso tenha sido desenvolvido para auxiliar pessoas com defici\u00eancia no uso do dispositivo, o trojan explora essa autoriza\u00e7\u00e3o para assumir o controle do aparelho.<\/p>\n<p>De acordo com a ThreatFabric, o pr\u00f3prio malware utiliza automa\u00e7\u00e3o para pressionar o usu\u00e1rio a conceder o acesso. Com a permiss\u00e3o ativa, os operadores conseguem visualizar a tela em tempo real, registrar tudo o que \u00e9 digitado, interceptar SMS e notifica\u00e7\u00f5es, ocultar mensagens contendo senhas tempor\u00e1rias e at\u00e9 exibir telas falsas que imitam aplicativos banc\u00e1rios leg\u00edtimos para roubo de credenciais.<\/p>\n<p><strong>Rede TON dificulta derrubada da infraestrutura criminosa<\/strong><\/p>\n<p>A principal mudan\u00e7a t\u00e9cnica do Trickmo.C est\u00e1 na forma de comunica\u00e7\u00e3o com os operadores do esquema. Em vez de utilizar a infraestrutura tradicional da internet, o malware passou a operar por meio da TON, a The Open Network, rede descentralizada criada originalmente dentro do ecossistema do Telegram.<\/p>\n<p>Em sistemas convencionais, servidores utilizados por criminosos podem ser identificados por nomes de dom\u00ednio e endere\u00e7os IP, permitindo que empresas de seguran\u00e7a e autoridades solicitem a remo\u00e7\u00e3o dessas estruturas. Na TON, por\u00e9m, os servidores usam identificadores criptografados sob o pseudo-dom\u00ednio \u201c.adnl\u201d, resolvidos internamente pela pr\u00f3pria rede descentralizada, sem depend\u00eancia do DNS p\u00fablico.<\/p>\n<p>O malware incorpora um proxy TON executado localmente no aparelho infectado. Todo o tr\u00e1fego de comando e controle passa por esse mecanismo antes de chegar aos operadores.<\/p>\n<p>Para ferramentas de monitoramento, o tr\u00e1fego aparece apenas como comunica\u00e7\u00e3o criptografada da rede TON, sem distin\u00e7\u00e3o clara entre atividades leg\u00edtimas e maliciosas. Como os endere\u00e7os utilizados n\u00e3o existem no sistema convencional de DNS, os m\u00e9todos tradicionais de remo\u00e7\u00e3o de dom\u00ednios deixam de funcionar.<\/p>\n<p><strong>Dispositivos infectados podem ser usados em fraudes financeiras<\/strong><\/p>\n<p>Al\u00e9m do roubo de dados, a nova variante amplia as capacidades de explora\u00e7\u00e3o dos aparelhos comprometidos. O malware permite que os operadores realizem consultas DNS, testes de conectividade ICMP, rastreamento de rotas, sondagens TCP e requisi\u00e7\u00f5es HTTP diretamente a partir do celular da v\u00edtima.<\/p>\n<p>O Trickmo.C tamb\u00e9m implementa tunelamento SSH e um proxy SOCKS5 com autentica\u00e7\u00e3o. Segundo os pesquisadores, a combina\u00e7\u00e3o dessas fun\u00e7\u00f5es pode transformar o dispositivo infectado em um n\u00f3 de sa\u00edda de tr\u00e1fego cifrado e autenticado.<\/p>\n<p>Na pr\u00e1tica, conex\u00f5es fraudulentas passam a parecer leg\u00edtimas para bancos, corretoras e exchanges de criptomoedas, j\u00e1 que os acessos surgem a partir do endere\u00e7o IP real do usu\u00e1rio infectado. Isso reduz a efic\u00e1cia de sistemas antifraude baseados em an\u00e1lise de origem de conex\u00e3o.<\/p>\n<p><strong>Componentes inativos indicam poss\u00edveis expans\u00f5es futuras<\/strong><\/p>\n<p>A an\u00e1lise da ThreatFabric tamb\u00e9m identificou componentes presentes no c\u00f3digo do malware que ainda n\u00e3o est\u00e3o ativos.<\/p>\n<p>Entre eles est\u00e1 o framework Pine, utilizado anteriormente para interceptar chamadas de rede e comunica\u00e7\u00f5es com o Firebase. Embora continue inicializado na nova variante, nenhum hook ativo foi encontrado.<\/p>\n<p>O aplicativo tamb\u00e9m declara permiss\u00f5es completas relacionadas ao uso de NFC e envia aos operadores informa\u00e7\u00f5es sobre a compatibilidade do dispositivo com a tecnologia. Apesar disso, os pesquisadores n\u00e3o localizaram fun\u00e7\u00f5es NFC efetivamente utiliz\u00e1veis na vers\u00e3o atual.<\/p>\n<p>A interpreta\u00e7\u00e3o da equipe \u00e9 que os operadores estejam mapeando aparelhos compat\u00edveis e preparando a infraestrutura para futuras atualiza\u00e7\u00f5es remotas, sem necessidade de reinstalar o aplicativo malicioso.<\/p>\n<p><strong>Como reduzir o risco de infec\u00e7\u00e3o<\/strong><\/p>\n<p>Especialistas recomendam que usu\u00e1rios instalem aplicativos apenas pela Google Play Store e evitem APKs obtidos em fontes externas. Tamb\u00e9m \u00e9 indicado limitar a quantidade de aplicativos instalados, priorizar softwares de desenvolvedores conhecidos e manter o Google Play Protect ativado no dispositivo.<\/p>\n<p><em><strong>(Com informa\u00e7\u00f5es de Olhar Digital)<\/strong><\/em><br \/>\n<em><strong>(Foto: Reprodu\u00e7\u00e3o\/Magnific\/Dragana_Gordic)<\/strong><\/em><\/p>","protected":false},"excerpt":{"rendered":"<p>Torjan utiliza a rede TON para dificultar rastreamento e permite que celulares infectados sejam usados como pontos de sa\u00edda em fraudes financeiras<\/p>","protected":false},"author":10,"featured_media":18580,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[35],"tags":[13],"class_list":["post-18579","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ti","tag-sindical"],"_links":{"self":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/18579","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/comments?post=18579"}],"version-history":[{"count":1,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/18579\/revisions"}],"predecessor-version":[{"id":18581,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/18579\/revisions\/18581"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media\/18580"}],"wp:attachment":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media?parent=18579"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/categories?post=18579"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/tags?post=18579"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}