Los investigadores de ciberseguridad han señalado una nueva versión del trucomo Troyano bancario de Android que utiliza The Open Network (TON) para comando y control (C2).
Se ha observado que la nueva variante, observada por ThreatFabric entre enero y febrero de 2026, se dirige activamente a usuarios de banca y billeteras de criptomonedas en Francia, Italia y Austria.
«TrickMo se basa en un APK cargado en tiempo de ejecución (dex.module), utilizado también por la variante anterior, pero actualizado con nuevas características que agregan nuevas funcionalidades orientadas a la red, incluyendo reconocimiento, túnel SSH y capacidades de proxy SOCKS5 que permiten que los dispositivos infectados funcionen como pivotes de red programables y nodos de salida de tráfico», dijo la compañía holandesa de seguridad móvil en un informe compartido con The Hacker News.
TrickMo es el nombre asignado a un malware de adquisición de dispositivos (DTO) que ha estado activo desde finales de 2019. Fue señalado por primera vez por CERT-Bund e IBM X-Force, describiendo su capacidad para abusar de los servicios de accesibilidad de Android para secuestrar contraseñas de un solo uso (OTP).
También está equipado con una amplia gama de funciones para realizar phishing para obtener credenciales, registrar pulsaciones de teclas, grabar pantalla, facilitar la transmisión de pantalla en vivo, interceptar mensajes SMS, lo que esencialmente otorga al operador un control remoto completo del dispositivo.
Las últimas versiones, denominadas TrickMo C, se distribuyen a través de sitios web en fase y aplicaciones de cuentagotas, estas últimas sirven como conducto para un APK cargado dinámicamente («dex.module») que se recupera en tiempo de ejecución desde la infraestructura controlada por el atacante. Un cambio notable en la arquitectura implica el uso de la cadena de bloques descentralizada TON para comunicaciones C2 sigilosas.
«TrickMo lleva un proxy TON nativo integrado que el APK del host inicia en un puerto loopback al inicio del proceso», dijo ThreatFabric. «El cliente HTTP del bot está conectado a través de ese proxy, por lo que cada solicitud de comando y control saliente se dirige a un nombre de host .adnl y se resuelve a través de la superposición TON».
Las aplicaciones dropper que contienen el malware se hacen pasar por versiones de TikTok para adultos a través de Facebook, mientras que el malware real se hace pasar por los servicios de Google Play.
- com.app16330.core20461 o com.app15318.core1173 (cuentagotas)
- tío.collop416.wifekin78 o nibong.lida531.butler836 (TrickMo)
Mientras que las iteraciones anteriores de «dex.module» implementaron la funcionalidad de control remoto basada en accesibilidad a través de un canal basado en socket.io, la nueva versión utiliza un subsistema operativo de red que convierte el malware en una herramienta para un punto de apoyo administrado en lugar de un troyano bancario tradicional.
El subsistema admite comandos como curl, dnslookup, ping, telnet y traceroute, lo que le brinda al atacante un «equivalente a un shell remoto para el reconocimiento de la red desde la posición de la red de la víctima, incluida cualquier red interna corporativa o doméstica a la que esté asociado actualmente el dispositivo», según ThreatFabric.
Otra característica importante es un proxy SOCKS5 que convierte el dispositivo comprometido en un nodo de salida de la red que enruta el tráfico malicioso, al tiempo que anula las firmas de detección de fraude basadas en IP en servicios bancarios, de comercio electrónico y de intercambio de criptomonedas.
Además, TrickMo incluye dos funciones inactivas que agrupan el marco de enlace Pine y declaran amplios permisos relacionados con NFC. Pero ninguno de ellos se implementa realmente. Esto probablemente indica que los desarrolladores principales están buscando ampliar las capacidades del troyano en el futuro.
«En lugar de depender del DNS convencional y de la infraestructura pública de Internet, el malware se comunica a través de puntos finales .adnl enrutados a través de un proxy TON local integrado, lo que reduce la eficacia de los esfuerzos tradicionales de desmontaje y bloqueo de red, al tiempo que hace que el tráfico se mezcle con la actividad TON legítima», dijo ThreatFabric.
«Esta última variante también amplía la función operativa de los dispositivos infectados a través de túneles SSH y proxy SOCKS5 autenticado, convirtiendo efectivamente los teléfonos comprometidos en pivotes de red programables y nodos de salida de tráfico cuyas conexiones se originan en el propio entorno de red de la víctima».