Si chiama TrickMo, ed è stato individuato e tracciato dagli analisti di ThreatFabric a partire da gennaio 2026. Non si tratta di una nuova famiglia di malware, ma di una riscrittura deliberata di un’architettura già esistente — un aggiornamento strutturale che lo rende significativamente più difficile da intercettare.
Il vettore di distribuzione sfrutta la notorietà di app popolari: il malware si presenta sotto forma di cloni di TikTok oppure di applicazioni di streaming, diffuse tramite campagne su Facebook e repository di terze parti. Una volta installato, richiede l’accesso ai servizi di accessibilità di Android — funzione legittima del sistema operativo che, se concessa, trasferisce di fatto il controllo del dispositivo all’attaccante.
Il malware che “sembra” TikTok ed entra nel tuo dispositivo
Da quel momento, il telefono della vittima diventa uno strumento nelle mani degli operatori criminali. TrickMo può registrare lo schermo, tracciare ogni tocco e pressione di tasto, intercettare gli SMS in entrata e sopprimere silenziosamente le notifiche contenenti codici OTP, prima che l’utente abbia il tempo di leggerle. Può anche trasmettere in diretta il contenuto del display agli attaccanti e modificare il contenuto degli appunti. Tutto questo rende praticamente inutile l’autenticazione a due fattori, che viene aggirata a monte.
C’è un dettaglio tecnico che distingue questa variante dalle precedenti: i dispositivi infetti vengono trasformati in nodi proxy attivi. Attraverso un tunnel SSH integrato e un proxy SOCKS5 residente sul telefono compromesso, il traffico malevolo transita attraverso la connessione della vittima. I sistemi antifrode delle banche e degli exchange di criptovalute, progettati per rilevare accessi da posizioni anomale, vedono invece una transazione provenire dall’indirizzo IP del legittimo titolare del conto.
La novità più rilevante riguarda però il canale di comando e controllo. Le versioni precedenti di TrickMo usavano infrastrutture internet convenzionali, con domini raggiungibili e quindi individuabili, bloccabili. La variante attuale comunica attraverso The Open Network (TON), una rete decentralizzata peer-to-peer sviluppata nell’ecosistema Telegram.
Gli indirizzi .adnl utilizzati non esistono nel sistema DNS pubblico: non possono essere revocati, bloccati tramite blacklist di dominio, né rintracciati con i metodi tradizionali. Un identificatore a 256 bit sostituisce il normale indirizzo IP, rendendo invisibile la reale posizione dell’infrastruttura degli attaccanti.
Come ulteriore strato di occultamento, TrickMo sostituisce anche il resolver DNS del dispositivo con un servizio DNS-over-HTTPS per le connessioni residue in chiaro. Il traffico prodotto si mescola con quello legittimo della rete TON, rendendo il rilevamento a livello di rete quasi impraticabile.
Vale la pena notare un dettaglio laterale che emerge dall’analisi tecnica: tra gli indicatori di compromissione pubblicati dai ricercatori, due dei dropper si spacciano per “TikTokApp18+” — un nome package che suggerisce il targeting di una fascia utenti specifica, probabilmente adulti disposti a installare applicazioni non ufficiali promettendo contenuti per adulti, fuori dai canali verificati.
Il modulo offensivo principale, denominato dex.module, non è incluso staticamente nell’applicazione ma viene scaricato a runtime dall’infrastruttura degli attaccanti e iniettato nel processo in esecuzione. Questo approccio riduce la superficie rilevabile dai software antivirus durante l’analisi statica del file installato.
I dropper identificati da ThreatFabric si mascherano anche da Google Play Services — il che significa che l’icona e il nome dell’app nella lista delle applicazioni installate coincidono con un processo di sistema del tutto normale per qualsiasi utente Android.