Nueva variante de TrickMo utiliza la red TON para evadir detección y comprometer banca móvil en Europa
1. Introducción
En los últimos meses, la comunidad de ciberseguridad ha sido testigo de la aparición de una nueva mutación del troyano bancario TrickMo, esta vez dotado de una arquitectura de control y comunicación (C2) basada en The Open Network (TON). Identificada y documentada por la firma ThreatFabric, esta variante ha estado activa entre enero y febrero de 2026, focalizando sus operaciones en usuarios de aplicaciones de banca y monederos de criptomonedas en Francia, Italia y Austria. El uso de la infraestructura TON supone un salto cualitativo en la capacidad de evasión, resiliencia y anonimato de TrickMo, dificultando significativamente la labor de detección y respuesta por parte de los equipos SOC, CISOs y profesionales de la seguridad.
2. Contexto del Incidente o Vulnerabilidad
TrickMo no es un desconocido para el sector: se trata de un malware enfocado en Android, ampliamente utilizado para interceptar códigos de autenticación multifactor (MFA) y robar credenciales bancarias a través de técnicas de overlay y manipulación de SMS. Tradicionalmente, este malware ha sido distribuido por campañas de smishing y aplicaciones maliciosas disfrazadas. Sin embargo, la integración con TON representa una evolución en su ecosistema: la red TON, diseñada originalmente para mensajería segura y descentralizada, ofrece canales cifrados y difíciles de rastrear, que ahora son explotados para operar la infraestructura C2 del malware.
Durante el periodo de observación, ThreatFabric ha constatado una intensificación de los ataques dirigidos a usuarios de banca móvil y wallets de criptomonedas, especialmente en países donde estos servicios han experimentado un notable auge. Los actores detrás de TrickMo han adaptado sus tácticas, técnicas y procedimientos (TTPs) para evadir medidas de seguridad tradicionales y aprovechar las características de anonimato y descentralización de TON.
3. Detalles Técnicos (CVE, Vectores de Ataque, TTP MITRE ATT&CK, IoC…)
La versión analizada de TrickMo se distribuye en forma de un APK malicioso que, una vez instalado, carga dinámicamente un módulo DEX (dex.module) en tiempo de ejecución. Este enfoque modular complica el análisis estático y permite a los atacantes actualizar funcionalidades sin necesidad de reinstalación. El malware no explota vulnerabilidades específicas de Android (no hay CVE asignado en el momento de redacción), sino que se apoya en la ingeniería social para obtener permisos de accesibilidad, lectura de SMS y superposición de pantalla, siguiendo los TTPs definidos en MITRE ATT&CK para dispositivos móviles (T1539, T1409, T1415).
Una vez concedidos los permisos, TrickMo intercepta comunicaciones (incluidos códigos OTP y push), extrae credenciales y monitoriza actividad en apps bancarias. El canal de comunicación C2 opera íntegramente sobre TON, usando contratos inteligentes y canales cifrados para recibir órdenes y exfiltrar datos. Los IoC identificados incluyen hashes de APK, patrones de tráfico específicos en la red TON y artefactos de persistencia en el sistema de archivos de Android.
4. Impacto y Riesgos
La capacidad de TrickMo para interceptar MFA y manipular overlays en tiempo real supone una amenaza crítica para la banca móvil y el sector de criptomonedas. Se estima que, en esta campaña, el 30% de los usuarios de banca móvil en las regiones afectadas podrían estar expuestos si no aplican contramedidas. Además, la utilización de TON como canal C2 permite a los operadores modificar infraestructuras de ataque sin dejar rastros evidentes en dominios o direcciones IP, eludiendo sistemas tradicionales de monitoreo y bloqueo.
El impacto económico potencial es elevado: según el Banco Central Europeo, el fraude en banca móvil en la UE superó los 1.000 millones de euros en 2025, y se prevé un aumento del 20% debido a la sofisticación de amenazas como TrickMo.
5. Medidas de Mitigación y Recomendaciones
Para mitigar los riesgos de TrickMo, los expertos recomiendan:
– Desplegar soluciones EDR y MTD con capacidad de análisis dinámico de APK y detección de comportamientos anómalos, incluyendo la monitorización de acceso a permisos de accesibilidad y superposición.
– Actualizar políticas de seguridad para bloquear la instalación de aplicaciones desde fuentes no confiables y reforzar la autenticación multifactor con métodos fuera de banda.
– Implementar reglas de firewall y monitorización de tráfico orientadas a patrones de comunicación en la red TON.
– Mantener la formación y concienciación de usuarios sobre riesgos de ingeniería social y smishing.
– Realizar análisis forense ante cualquier incidente, recopilando IoC y colaborando con CSIRT nacionales.
6. Opinión de Expertos
Según analistas de ThreatFabric y consultores independientes, la adopción de TON como infraestructura C2 marca un antes y un después en el panorama del malware bancario. Javier Ruiz, CISO de una entidad bancaria europea, advierte: «La descentralización de los canales de mando y control, junto con la modularidad del malware, obligan a repensar nuestras estrategias de threat hunting y respuesta a incidentes».
7. Implicaciones para Empresas y Usuarios
Las entidades financieras y empresas de tecnología deben revisar urgentemente sus controles de seguridad en aplicaciones móviles, así como sus sistemas de detección de amenazas emergentes. El cumplimiento normativo (GDPR, NIS2) exige la notificación de incidentes y la protección de datos personales, por lo que la exposición a TrickMo puede acarrear sanciones significativas y daño reputacional. Para los usuarios, la principal recomendación es extremar la precaución en la instalación de apps y no conceder permisos excesivos.
8. Conclusiones
La evolución de TrickMo y su integración con la red TON representan una amenaza avanzada y difícil de erradicar para el ecosistema financiero digital europeo. La colaboración entre equipos de respuesta, analistas, proveedores de seguridad y reguladores será clave para contener la propagación de este malware y proteger los activos críticos de empresas y usuarios.
(Fuente: feeds.feedburner.com)