El malware TrickMo representa una amenaza cada vez más sofisticada en el mundo de los ciberataques, dirigido principalmente a dispositivos Android en Europa. Gracias a su camuflaje detrás de la infraestructura descentralizada de la blockchain TON, este troyano bancario ha sabido evolucionar desde su descubrimiento inicial en 2019. Este análisis profundo explora las características de TrickMo, sus modos de operación y las medidas a tomar para protegerse contra esta amenaza insidiosa.
TrickMo: un malware en constante evolución
TrickMo no es un recién llegado en la escena de los malwares. Comenzando su recorrido malicioso en septiembre de 2019, rápidamente atrajo la atención de los expertos en ciberseguridad debido a sus capacidades de evolución. En octubre de 2024, la empresa Zimperium identificó más de 40 variantes de este malware, testificando los esfuerzos continuos de sus autores para perfeccionar sus métodos. Actualmente, la variante Trickmo.C, observada desde enero de 2025, se distingue por su uso innovador de un método de comunicación asociado a la blockchain, haciendo que la detección y neutralización de los ataques sean mucho más difíciles.
Objetivos específicos en Europa
La variante Trickmo.C ha sido diseñada para atacar específicamente a usuarios ubicados en Francia, Italia y Austria. A menudo presentándose en forma de aplicaciones populares como TikTok o servicios de streaming, busca engañar a las víctimas para que descarguen el software malicioso. Una vez instalado, TrickMo.C ataca las credenciales bancarias así como los monederos de criptomonedas, revelando un enfoque planificado y estratégico de los cibercriminales.
Un uso astuto de la blockchain TON
Lo que hace que TrickMo.C sea particularmente temible es su integración con la red TON (The Open Network), un sistema descentralizado diseñado inicialmente para Telegram. Gracias a esta red, TrickMo.C puede establecer comunicaciones discretas con sus operadores maliciosos, sin exponer sus actividades en el Internet tradicional. Utilizando direcciones ADNL, identificadores propios de TON, el malware puede conectarse a sus servidores de comando a través de un proxy local, haciendo que sus comunicaciones sean casi invisibles para las herramientas de detección habituales.
Un arsenal de preocupantes características
La arquitectura de TrickMo se basa en una estructura modular, integrando un APK principal para la instalación y un módulo secundario que asegura las funciones ofensivas. Entre las capacidades notables de este malware, se encuentran:
- Superposición de falsos sitios bancarios para el robo de credenciales.
- Registro de pulsaciones de teclado y captura de pantalla.
- Difusión en vivo de la pantalla al operador.
- Intercepción de SMS y eliminación de notificaciones OTP.
- Modificación del portapapeles y filtrado de notificaciones.
Los nuevos comandos de red avanzados que TrickMo.C ha añadido — como curl, ping, telnet y tunneling SSH — amplían las perspectivas de ataques, ofreciendo a los cibercriminales un control mayor sobre los dispositivos infectados.
Funciones latentes a vigilar
Los expertos también han descubierto que TrickMo.C contiene funciones latentes, como la integración del marco Pine, que podría potencialmente interceptar operaciones de red. Aunque estas opciones aún no están habilitadas, su presencia indica que los autores de TrickMo podrían estar planeando actualizaciones para intensificar el impacto de su malware. Además, el malware menciona permisos relacionados con la tecnología NFC, sugiriendo aún más posibilidades de evolución futura.
Medidas de protección frente a TrickMo
Frente a una amenaza tan sofisticada como TrickMo, es crucial que los usuarios de Android adopten prácticas de seguridad efectivas. Las recomendaciones de los expertos incluyen:
- Descargar solamente aplicaciones desde la Google Play Store oficial.
- Priorizar editores reconocidos y leer reseñas antes de instalar una aplicación.
- Limitar la cantidad de aplicaciones instaladas en su dispositivo.
- Activar permanentemente Google Play Protect.
- Estar alerta ante aplicaciones que imiten servicios populares como TikTok.
Un giro inquietante en el panorama de los malwares
La introducción de la red TON en el arsenal de TrickMo subraya la inquietante evolución de los malwares móviles. Al explotar tecnologías descentralizadas, los cibercriminales logran hacer que sus infraestructuras no solo sean más resistentes, sino también más difíciles de desmantelar. Esto plantea un desafío sin precedentes para los equipos de seguridad y las autoridades, mientras que la amenaza para los usuarios europeos sigue en aumento.
