Nuevo TrickMo C: troyano Android bancario convierte móviles en proxys TON

Foto del autor

CyberSecureFox Editorial Team

Los investigadores de la empresa ThreatFabric han detectado una nueva variante del troyano para Android TrickMo, que utiliza la red descentralizada The Open Network (TON) para gestionar los dispositivos infectados. La variante, identificada como TrickMo C, se observó entre enero y febrero de 2026 y, según los investigadores, tiene como objetivo a usuarios de aplicaciones bancarias y monederos de criptomonedas en Francia, Italia y Austria. La diferencia fundamental respecto a versiones anteriores es su transformación de troyano bancario clásico en una herramienta para crear cabezas de puente de red controladas: los dispositivos infectados se convierten en nodos proxy y puntos de salida de tráfico.

Cambio de arquitectura: TON como canal de control

TrickMo es una familia de malware de tipo Device Takeover (DTO), activa desde finales de 2019. El troyano abusa de los servicios de accesibilidad de Android para interceptar contraseñas de un solo uso, robar credenciales, grabar la pantalla, interceptar SMS y tomar el control remoto completo del dispositivo.

La principal novedad de la variante TrickMo C es el paso al blockchain descentralizado TON para las comunicaciones de mando y control (C2). Según ThreatFabric, el malware contiene un proxy TON nativo integrado, que se inicia en un puerto loopback local al arrancar el proceso. El cliente HTTP del troyano enruta todas las solicitudes C2 salientes a través de este proxy, accediendo a hosts en la zona .adnl, que se resuelven mediante la red superpuesta de TON.

Tal y como señalan los investigadores, esta arquitectura reduce la eficacia de los métodos tradicionales de bloqueo y desmantelamiento de la infraestructura, ya que el tráfico se mezcla con la actividad legítima en la red TON. A diferencia de los servidores C2 estándar en dominios públicos o direcciones IP, los endpoints .adnl no se pueden bloquear mediante filtrado DNS ni con la incautación de dominios.

Nuevas capacidades de red

Las versiones anteriores de TrickMo utilizaban un módulo cargado dinámicamente, dex.module, para implementar el control remoto a través de un canal basado en socket.io. La variante actualizada mantiene este módulo, pero lo complementa con un subsistema de red con funciones radicalmente distintas:

  • Reconocimiento de red — compatibilidad con los comandos curl, dnslookup, ping, telnet y traceroute, que proporcionan al atacante un equivalente a una shell remota para explorar la red de la víctima, incluidas redes corporativas y domésticas internas
  • Tunelización SSH — posibilidad de crear túneles cifrados a través del dispositivo infectado
  • SOCKS5-proxy autenticado — conversión del smartphone comprometido en un nodo de salida de tráfico, a través del cual los atacantes pueden enrutar solicitudes maliciosas

La función de SOCKS5-proxy merece especial atención. Cuando las transacciones fraudulentas o los intentos de iniciar sesión en cuentas se realizan a través de la propia dirección IP de la víctima, los sistemas de detección de fraude basados en el análisis de IP pierden eficacia. Para el banco o el exchange de criptomonedas, la solicitud parece provenir de la red habitual del usuario.

Propagación y camuflaje

TrickMo C se propaga mediante sitios de phishing y aplicaciones dropper. Según ThreatFabric, los droppers se hacen pasar por versiones para adultos de TikTok, y el propio troyano imita a Google Play Services. Los nombres de paquete identificados son:

  • Droppers: com.app16330.core20461, com.app15318.core1173
  • Troyano: uncle.collop416.wifekin78, nibong.lida531.butler836

Una muestra del dropper está disponible en VirusTotal (SHA-256: 01889a9ec2abecb73e5e8792be68a4e3bc7dcbe1c3f19ac06763682d63aa8c21).

Módulos inactivos: señal de un futuro desarrollo

Los investigadores descubrieron en el código dos componentes inactivos: una integración con el framework de interceptación Pine y la declaración de permisos ampliados para trabajar con NFC. Ninguno de ellos se ha implementado funcionalmente por el momento. Esto puede indicar los planes de los desarrolladores de ampliar las capacidades del troyano —en particular, la posible interceptación de transacciones NFC para ataques a pagos sin contacto—. Sin embargo, esto es solo una hipótesis analítica y no un hecho confirmado.

Evaluación del impacto

La evolución de TrickMo refleja una tendencia en la que los troyanos bancarios para móviles van más allá del robo de credenciales y se convierten en herramientas para construir infraestructura de red. Un dispositivo infectado en una red Wi‑Fi corporativa se transforma en un punto de entrada para el reconocimiento de la infraestructura interna. Un dispositivo en una red doméstica —en un proxy de anonimización para operaciones fraudulentas.

Están expuestos al mayor riesgo:

  • Usuarios de dispositivos Android en Francia, Italia y Austria que utilizan aplicaciones bancarias y monederos de criptomonedas
  • Organizaciones que permiten conectar dispositivos móviles personales a las redes corporativas (BYOD)
  • Exchanges de criptomonedas y servicios de pago que dependen de la reputación de IP como factor de detección de fraude

Recomendaciones de protección

  • Instalar aplicaciones solo desde fuentes oficiales — Google Play Store. No descargue archivos APK desde sitios de terceros, especialmente los que ofrecen versiones “modificadas” de aplicaciones populares
  • Comprobar los permisos — si una aplicación que se hace pasar por Google Play Services solicita acceso a los servicios de accesibilidad (Accessibility Services), es un indicio de compromiso
  • Supervisión del tráfico de red — el tráfico saliente anómalo hacia endpoints .adnl o la actividad inusual del protocolo TON en dispositivos móviles debe considerarse un indicador de infección
  • Segmentación de redes — aísle los dispositivos móviles de los segmentos críticos de la infraestructura corporativa. Las políticas de BYOD deben tener en cuenta el riesgo de uso del dispositivo como cabeza de puente de red
  • Autenticación multifactor — utilice tokens hardware o aplicaciones autenticadoras en lugar de códigos SMS, que TrickMo es capaz de interceptar
  • Comprobación de IOC — contraste los hashes y nombres de paquete indicados más arriba con los registros de sistemas MDM y de las soluciones de protección de endpoints

La transición de TrickMo a una infraestructura basada en blockchain para las comunicaciones C2 y la transformación de los dispositivos infectados en proxys de red suponen una complejización cualitativa de la amenaza que exige revisar los enfoques de detección. Las organizaciones que permiten dispositivos móviles en sus redes corporativas deben comprobar de inmediato la presencia de los indicadores de compromiso mencionados y asegurarse de que sus políticas de segmentación impiden el uso de un smartphone como punto de entrada para el reconocimiento de la infraestructura interna.

Foto del autor

CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

CyberSecureFox

© 2026 INFO

Sobre el sitio

Sobre CyberSecureFox

Autores

Contacto

Redacción

Estándares editoriales

Correcciones

Legal

Política de privacidad

Términos de servicio