Underc0de - La Casa de los Informáticos

TrickMo Android evoluciona y utiliza la red TON para ocultar ataques bancarios

Una nueva variante del malware bancario TrickMo está siendo utilizada en campañas activas dirigidas a usuarios de Android en toda Europa. Investigadores de seguridad han detectado que esta versión incorpora capacidades avanzadas de evasión, nuevos comandos ofensivos y un innovador sistema de comunicación basado en The Open Network (TON), permitiendo a los operadores ocultar su infraestructura de comando y control (C2) de forma mucho más efectiva.

La amenaza, rastreada como "Trickmo.C" por ThreatFabric, ha sido observada desde enero y representa una evolución significativa de uno de los troyanos bancarios más persistentes y peligrosos del ecosistema Android.

Qué es TrickMo y por qué sigue siendo una amenaza crítica

TrickMo fue detectado por primera vez en septiembre de 2019 como un malware especializado en robo bancario móvil. Desde entonces, sus operadores han mantenido un desarrollo constante, añadiendo nuevas funciones orientadas al robo de credenciales financieras, evasión de seguridad y control remoto de dispositivos infectados.

En octubre de 2024, Zimperium identificó al menos 40 variantes diferentes distribuidas mediante 16 droppers distintos y conectadas a 22 infraestructuras de comando y control separadas. Estas campañas tenían como objetivo usuarios de múltiples regiones del mundo y buscaban robar datos financieros altamente sensibles.

Ahora, la nueva variante Trickmo.C amplía aún más sus capacidades y apunta específicamente a víctimas en Francia, Italia y Austria, utilizando aplicaciones falsas disfrazadas de TikTok y plataformas de streaming para infectar dispositivos Android.

Malware disfrazado de TikTok y aplicaciones de streaming

Los atacantes están distribuyendo el malware mediante aplicaciones fraudulentas que aparentan ser servicios legítimos de entretenimiento y redes sociales. Esta táctica de ingeniería social busca convencer a los usuarios de instalar manualmente archivos APK fuera de Google Play.

Una vez instalada la aplicación maliciosa, el malware despliega una arquitectura modular de dos etapas diseñada para mantener persistencia y descargar componentes adicionales dinámicamente.

La estructura de TrickMo incluye:

• Un APK inicial que funciona como cargador y mecanismo de persistencia
• Un segundo módulo descargado en tiempo de ejecución que ejecuta las funciones ofensivas

Este diseño modular permite a los operadores actualizar funcionalidades sin necesidad de reinstalar completamente el malware, dificultando además su detección.

TON: la nueva herramienta para ocultar servidores de comando y control

La característica más innovadora y peligrosa de esta variante es el uso de The Open Network (TON) para comunicaciones sigilosas entre el malware y los operadores.

TON es una red peer-to-peer descentralizada originalmente desarrollada alrededor del ecosistema Telegram. En lugar de utilizar servidores tradicionales visibles públicamente, TON permite comunicaciones cifradas mediante una red superpuesta distribuida.

A diferencia de internet convencional, donde los servidores dependen de dominios DNS fácilmente identificables, TON utiliza direcciones ADNL de 256 bits que ocultan la dirección IP y el puerto reales del servidor.

Esto genera varias ventajas para los ciberdelincuentes:

• Mayor anonimato de la infraestructura C2
• Dificultad extrema para bloquear servidores
• Imposibilidad práctica de realizar takedowns tradicionales de dominios
• Tráfico cifrado difícil de diferenciar del uso legítimo de TON

Según ThreatFabric, las técnicas tradicionales de desmantelamiento son prácticamente ineficaces porque los endpoints del operador no dependen de DNS públicos y existen únicamente dentro de la propia red TON.

Además, el tráfico generado por TrickMo se mezcla con otras comunicaciones legítimas basadas en TON, complicando enormemente las tareas de detección en redes corporativas y soluciones de seguridad.

Capacidades avanzadas del malware TrickMo

TrickMo continúa consolidándose como uno de los malware bancarios más completos y sofisticados para Android.

Entre las funcionalidades detectadas se encuentran:

• Superposiciones de phishing sobre aplicaciones bancarias
• Robo de credenciales financieras
• Keylogging
• Grabación de pantalla
• Streaming en vivo del dispositivo
• Intercepción de SMS
• Supresión de notificaciones OTP
• Manipulación del portapapeles
• Filtrado de notificaciones
• Captura de pantallas

Estas capacidades permiten a los atacantes obtener acceso completo a cuentas bancarias, billeteras de criptomonedas y sistemas de autenticación multifactor.

Nuevos comandos agregados en Trickmo.C

ThreatFabric confirmó que la variante actual incorpora nuevas herramientas avanzadas de administración remota y reconocimiento de red.

Los nuevos comandos incluyen:

• Curl
• dnsLookup
• ping
• telnet
• traceroute
• Tunelamiento SSH
• Reenvío remoto de puertos
• Reenvío local de puertos
• Proxy SOCKS5 autenticado

Estas funciones convierten al dispositivo infectado en una plataforma completa de acceso remoto, permitiendo a los operadores moverse lateralmente, ocultar tráfico malicioso y utilizar el teléfono como punto intermedio para otras actividades ilícitas.

El soporte de túneles SSH y proxies SOCKS5 demuestra una clara evolución hacia capacidades similares a herramientas avanzadas utilizadas en operaciones de espionaje y ataques persistentes.

Framework Pine y posibles futuras funciones NFC

Los investigadores también detectaron la presencia del framework Pine, una herramienta de hooking en tiempo de ejecución utilizada anteriormente para interceptar tráfico de red y operaciones relacionadas con Firebase.

Aunque actualmente no se encontraron hooks activos instalados, su presencia indica que los desarrolladores de TrickMo podrían estar preparando futuras capacidades adicionales.

Asimismo, el malware solicita múltiples permisos relacionados con NFC y reporta telemetría asociada a esta tecnología. Sin embargo, por el momento no se identificaron funciones NFC activas dentro de la muestra analizada.

Los expertos consideran que esto podría anticipar futuras capacidades orientadas al fraude de pagos contactless o robo de datos de tarjetas.

Europa continúa siendo objetivo prioritario

Las campañas actuales se centran principalmente en usuarios de Francia, Italia y Austria, aunque los investigadores advierten que la infraestructura podría expandirse rápidamente hacia otros países europeos.

Las aplicaciones bancarias y las billeteras de criptomonedas siguen siendo objetivos prioritarios debido al crecimiento de la banca móvil y las plataformas financieras digitales.

El uso de técnicas avanzadas de evasión, comunicación cifrada y distribución mediante aplicaciones falsas convierte a TrickMo en una amenaza especialmente peligrosa para usuarios Android.

Cómo protegerse del malware TrickMo en Android

Los expertos en ciberseguridad recomiendan adoptar varias medidas preventivas para reducir el riesgo de infección:

• Descargar aplicaciones únicamente desde Google Play
• Mantener activado Google Play Protect
• Evitar instalar APKs desde fuentes externas
• Limitar la cantidad de aplicaciones instaladas
• Revisar cuidadosamente los permisos solicitados
• Utilizar soluciones de seguridad móvil confiables
• Mantener Android actualizado
• Desconfiar de aplicaciones que imiten plataformas populares

También se recomienda prestar especial atención a aplicaciones relacionadas con banca, criptomonedas y autenticación multifactor.

TrickMo demuestra la evolución del malware móvil moderno

La incorporación de TON como infraestructura de comunicación marca un cambio importante en el panorama de amenazas móviles. Los ciberdelincuentes están adoptando tecnologías descentralizadas para ocultar sus operaciones y evitar los métodos tradicionales de detección y desmantelamiento.

TrickMo no solo continúa evolucionando técnicamente, sino que demuestra cómo el malware bancario Android está convergiendo hacia capacidades cada vez más sofisticadas similares a las utilizadas por grupos APT y operaciones de ciberespionaje avanzadas.

La combinación de phishing móvil, robo financiero, evasión avanzada y comunicaciones descentralizadas convierte a TrickMo.C en una de las amenazas más relevantes actualmente para usuarios Android y

Fuente: https://www.bleepingcomputer.com/