La familia de troyanos bancarios TrickMo ha dado un salto arquitectónico que merece atención: en las muestras analizadas entre enero y febrero de 2026, los operadores han integrado la red descentralizada de The Open Network (TON) como canal de mando y control, y han trasformado los teléfonos comprometidos en pivotes de red programables. Este cambio no es solo una curiosidad técnica, sino una evolución estratégica con implicaciones directas para usuarios, bancos y defensores de infraestructuras críticas.
Desde su aparición en 2019, TrickMo ha sido conocido por abusar de los servicios de accesibilidad en Android para interceptar códigos de un solo uso, robar credenciales y ejercer control remoto del dispositivo. La nueva versión documentada por ThreatFabric mantiene esas capacidades, pero incorpora un módulo dinámico cargado en tiempo de ejecución (dex.module) que expande las funciones hacia tareas de reconocimiento de red, túneles SSH y proxy SOCKS5 autenticados. En la práctica, un teléfono infectado puede ahora enrutar tráfico malicioso desde la red local de la víctima, hacer sondeos internos y camuflar transacciones fraudulentas con la dirección IP del usuario afectado.
La técnica elegida para comunicarse con la infraestructura de mando —utilizar endpoints .adnl resolubles a través de la superposición de TON— añade capas de resiliencia frente a las medidas tradicionales de bloqueo y takedown. Al iniciar un proxy TON nativo en localhost, el malware encapsula sus peticiones HTTP a través de la red descentralizada, lo que reduce la visibilidad de los indicadores de compromiso en la red pública y complica la identificación de servidores remotos maliciosos mediante listas de bloqueo convencionales.
Más allá del mecanismo de C2, la inclusión de comandos como curl, dnslookup, ping, telnet o traceroute convierte al dispositivo infectado en una estación de reconocimiento desde la perspectiva de la red de la víctima. Esto altera la clásica imagen del “troyano bancario” centrado únicamente en interceptar OTPs: estamos ante un actor que busca mantener un punto de apoyo gestionable en redes objetivo para realizar movimiento lateral, fraude transaccional y anonimización de acceso mediante proxies.
El impacto práctico para usuarios y organizaciones es claro. Para particulares, la amenaza implica no solo el robo de credenciales sino la posibilidad de que su conexión doméstica se use como salida para actividades criminales. Para empresas, un empleado con un móvil comprometido en la red Wi‑Fi corporativa puede facilitar desplazamientos laterales o acceso a servicios internos desde una IP legítima de la organización, sorteando controles basados únicamente en direcciones de origen.
Detectar y mitigar esta amenaza exige adaptar controles a su naturaleza híbrida entre malware móvil y herramienta de red. En los dispositivos, es clave evitar la instalación de apps fuera de tiendas oficiales y desconfiar de aplicaciones que soliciten permisos de accesibilidad, servicios en primer plano o la elevación a “Google Play Services”. La práctica de sideloading y el uso de droppers que se hacen pasar por versiones “adultas” de aplicaciones conocidas es el vector usado en estos casos; la higiene digital básica sigue siendo la primera barrera.
Para operadores de seguridad y administradores, las estrategias deben combinar visibilidad en el endpoint móvil con monitoreo de la capa de red y controles de acceso. Revisar inventarios de aplicaciones, aplicar políticas MDM/EMM que restrinjan instalaciones de terceros, y habilitar APIs de detección de comportamiento anómalo en dispositivos son medidas efectivas. En la red, es importante buscar indicadores como procesos locales que abren puertos de loopback, la presencia de servicios SOCKS5 o patrones de conexión inusuales que no encajan con aplicaciones legítimas.
La naturaleza descentralizada de TON complica el bloqueo por listas de dominios, por lo que las defensas no pueden depender exclusivamente de filtrado DNS/IP. Es más efectivo combinar controles de acceso condicional, segmentación de red y autenticación resistente a phishing (por ejemplo, llaves FIDO para accesos sensibles) para reducir el impacto de conexiones originadas desde dispositivos comprometidos. Las organizaciones también deben revisar políticas BYOD y considerar la separación de redes para dispositivos no gestionados.
Otro aspecto a considerar es la evolución potencial del malware: los investigadores han señalado la presencia de características inactivas relacionadas con el hooking y permisos NFC, lo que sugiere que los desarrolladores podrían ampliar funcionalidades para interceptar pagos contactless o hookear APIs críticas en futuras variantes. Esto refuerza la necesidad de mantener programas de respuesta a incidentes actualizados y ejercicios de caza de amenazas que incluyan móviles como superficie de riesgo.
En términos legales y de respuesta comunitaria, el uso de infraestructuras descentralizadas plantea desafíos para las operaciones de interrupción tradicionales. La colaboración entre fabricantes de dispositivos, proveedores de redes y entidades de investigación es esencial para desarrollar señales de detección compartidas y mecanismos que permitan identificar patrones anómalos sin interferir en servicios legítimos de la red descentralizada. Recursos de referencia y análisis sobre TON y técnicas de evasión pueden consultarse en las páginas oficiales de la red y en informes de empresas de análisis de amenazas.
Si sospecha que su dispositivo ha sido comprometido, desconéctelo de redes Wi‑Fi corporativas, revise los permisos de aplicaciones, restablezca el teléfono tras copia de seguridad de datos imprescindibles y, en el contexto empresarial, notifique al equipo de seguridad para un análisis forense. Para prevenir futuros incidentes, priorice la formación de usuarios sobre ingeniería social, las actualizaciones automáticas del móvil y la implantación de políticas técnicas que limiten el alcance de apps instalables.
La convergencia entre malware móvil y redes descentralizadas marca una nueva etapa en la amenaza digital: más camuflaje, mayor resiliencia y capacidades de abuso de recursos de terceros. Conocer estas tácticas y adaptar las defensas —desde el usuario individual hasta la infraestructura empresarial— es la mejor respuesta disponible hoy.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...