Un nuevo giro en la evolución del troyano bancario TrickMo muestra cómo los atacantes buscan permanentemente espacios de ocultación en la infraestructura pública: la variante identificada como TrickMo.C, detectada por ThreatFabric y observada desde enero, incorpora comunicaciones sobre The Open Network (TON) y añade un conjunto de comandos que la convierten en una herramienta de control remoto mucho más versátil y difícil de neutralizar.
TrickMo no es un actor nuevo: existe desde 2019 y sigue desarrollándose como una pieza modular con dos fases —un APK anfitrión para persistencia y descarga en tiempo de ejecución del módulo malicioso— que roba credenciales bancarias y carteras de criptomonedas mediante overlays de phishing, keylogging, grabación y transmisión de pantalla, intercepción de SMS y alteración del portapapeles. La variante reciente, reportada por ThreatFabric, se ha distribuido en campañas que suplantan apps populares (por ejemplo, versiones falsificadas de TikTok y reproductores de streaming) y ha sido observada en víctimas en países como Francia, Italia y Austria. Más detalles técnicos sobre el análisis están disponibles en el informe de ThreatFabric: https://www.threatfabric.com/blogs/trickmo-unmasked-the-hidden-dex-module-and-the-variant-that-replaced-it.
La innovación más preocupante es el uso de TON como canal de comando y control. TON ofrece un overlay cifrado y direcciones .adnl con identificadores de 256 bits en lugar de nombres de dominio tradicionales, lo que oculta direcciones IP y puertos reales y evita las contramedidas habituales como takedowns por DNS. En la práctica, TrickMo incorpora un proxy TON local que enruta todo el tráfico C2 por esa red, haciendo que en el perímetro sólo se vea tráfico TON cifrado indistinguible del generado por aplicaciones legítimas que usan la misma red. Para entender el proyecto TON y su arquitectura puede consultarse la documentación pública en https://ton.org.
Además de ese canal, la última versión amplía su repertorio de órdenes para incluir utilidades de diagnóstico y tunelización —por ejemplo curl, dnsLookup, ping, telnet y traceroute— y funciones de red avanzadas como tunelado SSH, reenvío de puertos (local y remoto) y soporte de proxy SOCKS5 autenticado. Es decir, además de robar credenciales, un dispositivo comprometido puede ser transformado en un punto de salto para explorar redes internas, pivotar hacia otros objetivos o montar túneles que faciliten exfiltración y acceso persistente.
Desde la perspectiva del defensor, esto plantea dos retos claros: por un lado la dificultad operativa para identificar y desmantelar la infraestructura C2 tradicional; por otro, la necesidad de visibilizar actividades cifradas que se parecen a tráfico legítimo. Las estrategias de mitigación para equipos corporativos deben incluir detección basada en comportamiento (por ejemplo procesos que abren proxies locales o crean sockets inusuales en localhost), telemetría de endpoint que señale procesos Android con permisos sensibles y controles de egress que puedan identificar flujos persistentes hacia redes overlay. A nivel técnico conviene monitorizar la aparición de procesos proxy locales en dispositivos Android y auditar permisos como el acceso de accesibilidad, notificaciones y SMS que TrickMo suele solicitar.
Para usuarios móviles la protección viable sigue siendo preventiva: descargar apps sólo desde Google Play, preferir aplicaciones de editores reputados, mantener activado Play Protect y limitar el número de apps instaladas. Google documenta Play Protect y buenas prácticas en su centro de ayuda: https://support.google.com/googleplay/answer/2812853. También es recomendable no habilitar instalación desde orígenes desconocidos, revisar permisos sospechosos (sobre todo accesibilidad, SMS y capacidad de dibujar sobre otras apps) y utilizar factores de autenticación fuertes para servicios financieros; lo ideal es combinar contraseñas con autenticadores independientes o llaves físicas siempre que sea posible.
Si un dispositivo muestra síntomas (consumo de batería inusualmente alto, aplicaciones que piden permisos extra al instalarse, mensajes de banca no recibidos o transacciones no autorizadas), conviene aislar el equipo, cambiar contraseñas desde un dispositivo limpio y notificar de inmediato al banco. Para empresas, una respuesta adecuada incluye bloquear cuentas afectadas, forzar MFA, realizar análisis forense del terminal y revisar registros de egress y proxies que puedan mostrar túneles o reenvíos de puertos.
Finalmente, la incorporación de frameworks como Pine (aunque inactivo por ahora en esta variante) y declaraciones de capacidades NFC no usadas muestran que los operadores mantienen código “listo para” activar funciones futuras. Esto subraya que las amenazas móviles evolucionan tanto en capacidades ofensivas como en técnicas de evasión de infraestructura. La defensa necesita adaptar la telemetría móvil, la concienciación del usuario y las políticas de control de aplicaciones para reducir la superficie de ataque y detectar comportamientos anómalos antes de que se conviertan en fraude financiero.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...