Underc0de - La Casa de los Informáticos

Investigadores de ciberseguridad han detectado una nueva y sofisticada variante del troyano bancario Android TrickMo, una amenaza que ahora incorpora la blockchain descentralizada The Open Network (TON) como mecanismo de mando y control (C2) para dificultar su detección y eliminación.

La nueva campaña fue identificada por ThreatFabric entre enero y febrero de 2026 y estaría dirigida principalmente contra usuarios de aplicaciones bancarias y monederos de criptomonedas en Francia, Italia y Austria.

La evolución de TrickMo representa un importante salto técnico en el ecosistema del malware móvil, ya que transforma dispositivos Android comprometidos en nodos programables capaces de actuar como pivotes de red, proxies SOCKS5 y puntos de salida de tráfico malicioso, ampliando considerablemente el alcance operativo de los atacantes.

¿Qué es TrickMo y por qué representa una amenaza crítica?

TrickMo es un malware de tipo Device Takeover (DTO) que comenzó a operar activamente a finales de 2019. Inicialmente fue documentado por CERT-Bund y IBM X-Force debido a su capacidad para abusar de los servicios de accesibilidad de Android y robar contraseñas de un solo uso (OTP).

Con el paso de los años, TrickMo evolucionó hasta convertirse en una de las amenazas móviles más peligrosas del panorama financiero digital.

El malware cuenta con capacidades avanzadas que incluyen:

• Robo de credenciales bancarias
• Registro de pulsaciones de teclado (keylogging)
• Grabación de pantalla
• Intercepción de mensajes SMS
• Transmisión en vivo de pantallas comprometidas
• Control remoto completo del dispositivo
• Robo de códigos de autenticación multifactor
• Superposición de pantallas falsas sobre aplicaciones legítimas

Estas funciones permiten a los operadores obtener acceso total a las cuentas bancarias y monederos digitales de las víctimas.

TrickMo ahora utiliza TON para ocultar su infraestructura C2

Uno de los cambios más relevantes detectados en la nueva variante, denominada TrickMo C, es el uso de la blockchain descentralizada TON para gestionar las comunicaciones de mando y control.

Según ThreatFabric, el malware integra un proxy nativo de TON que se ejecuta localmente en el dispositivo infectado mediante un puerto loopback.

Esto permite que todas las comunicaciones salientes del malware sean redirigidas hacia dominios ".adnl" dentro de la infraestructura descentralizada TON, dificultando significativamente las labores tradicionales de detección y bloqueo.

A diferencia de los servidores C2 convencionales, que pueden ser identificados y desmantelados mediante acciones legales o bloqueos DNS, la arquitectura basada en blockchain proporciona:

• Mayor resiliencia
• Comunicaciones distribuidas
• Difícil trazabilidad
• Infraestructura descentralizada
• Reducción de puntos únicos de fallo

Los investigadores advirtieron que este enfoque hace que el tráfico malicioso se mezcle con actividad legítima de TON, complicando los sistemas de monitoreo de red corporativos y bancarios.

Las nuevas capacidades convierten teléfonos Android en herramientas de ciberataque

Otra evolución importante de TrickMo es la incorporación de funcionalidades avanzadas orientadas a operaciones de red ofensivas.

La nueva versión ya no se limita únicamente al robo bancario tradicional. Ahora actúa como una plataforma de gestión remota y reconocimiento de red.

El malware incluye un subsistema operativo de red compatible con comandos similares a herramientas administrativas legítimas como:

• curl
• dnslookup
• ping
• telnet
• traceroute

Estas capacidades permiten a los atacantes realizar reconocimiento interno desde la propia red donde se encuentra conectado el dispositivo comprometido.

Esto significa que un teléfono Android infectado conectado a una red corporativa puede convertirse en un punto de acceso para explorar:

• Servidores internos
• Equipos corporativos
• Recursos compartidos
• Infraestructura empresarial
• Servicios vulnerables

En esencia, TrickMo transforma smartphones infectados en plataformas de pivotaje para movimientos laterales dentro de redes corporativas o domésticas.

Proxy SOCKS5 y túneles SSH: una nueva dimensión operativa

La investigación también reveló que TrickMo incorpora un proxy SOCKS5 autenticado junto con capacidades de túnel SSH.

Estas funciones permiten que el tráfico malicioso se enrute a través del dispositivo comprometido, utilizando la conexión legítima de la víctima como punto de salida.

Esta técnica ofrece múltiples ventajas para los operadores:

• Ocultar la verdadera ubicación de los atacantes
• Evadir sistemas antifraude basados en IP
• Simular tráfico legítimo
• Enmascarar operaciones maliciosas
• Ejecutar ataques desde redes confiables

Los expertos destacan que esto representa un riesgo especialmente grave para:

• Plataformas bancarias
• Exchanges de criptomonedas
• Servicios financieros
• Sistemas de comercio electrónico

Al utilizar conexiones legítimas originadas desde el entorno de red de la víctima, los mecanismos tradicionales de detección de fraude pueden ser burlados más fácilmente.

Distribución mediante falsas aplicaciones de TikTok

La campaña observada por ThreatFabric utiliza páginas web fraudulentas y aplicaciones dropper para distribuir el malware.

Los atacantes promocionan falsas versiones para adultos de TikTok a través de anuncios y campañas en Facebook.

Una vez instalada la aplicación inicial, el dropper descarga dinámicamente un módulo APK malicioso denominado "dex.module" desde infraestructura controlada por los atacantes.

Posteriormente, el malware real se disfraza como servicios legítimos de Google Play Services para evitar sospechas.

Entre los identificadores detectados se encuentran:

Droppers identificados

• com.app16330.core20461
• com.app15318.core1173

Módulos TrickMo

• tio.collop416.wifekin78
• nibong.lida531.butler836

Posibles futuras capacidades NFC y hooking avanzado

ThreatFabric también identificó funciones latentes dentro del malware relacionadas con permisos NFC y el framework de hooking Pine.

Aunque estas capacidades aún no están activas, los investigadores creen que podrían formar parte de futuras expansiones del malware.

Esto podría abrir la puerta a ataques más avanzados relacionados con:

• Robo de pagos NFC
• Intercepción de transacciones móviles
• Manipulación de aplicaciones financieras
• Alteración dinámica de procesos Android

La inclusión de frameworks de hooking indica que los desarrolladores continúan ampliando las capacidades ofensivas de TrickMo.

TrickMo refleja la evolución del malware móvil moderno

La aparición de esta nueva variante demuestra cómo el malware Android está evolucionando rápidamente hacia plataformas de ciberataque mucho más complejas y persistentes.

El uso de blockchain descentralizada para comunicaciones C2 marca un cambio estratégico importante en las tácticas de los ciberdelincuentes, ya que dificulta enormemente las tareas de interrupción de infraestructura maliciosa.

Además, la combinación de:

• Proxy SOCKS5
• Túneles SSH
• Reconocimiento de red
• Comunicaciones descentralizadas
• Control remoto avanzado

convierte a TrickMo en una amenaza híbrida capaz de operar tanto como troyano bancario como plataforma de acceso remoto y pivotaje de red.

Los expertos recomiendan a los usuarios Android evitar descargar aplicaciones fuera de tiendas oficiales, revisar cuidadosamente permisos solicitados y mantener actualizados los sistemas operativos y soluciones de seguridad móvil para reducir el riesgo de infección.

Fuente: https://thehackernews.com/