.jpg) El troyano bancario para Android **TrickMo**, descubierto inicialmente en septiembre de 2019, continúa evolucionando con técnicas sofisticadas. La última iteración, denominada 'Trickmo.C' por **ThreatFabric**, emplea la blockchain **TON** para ocultar su infraestructura de C2, lo que dificulta su detección y neutralización. ### Integración TON para Mayor Sigilo La innovación clave en esta variante de **TrickMo** es su uso de **TON** para las comunicaciones de C2. **TON** es una red descentralizada peer-to-peer, originalmente asociada con **Telegram**, que proporciona canales de comunicación cifrados. Al utilizar direcciones .ADNL enrutadas a través de un proxy **TON** local en los dispositivos infectados, **TrickMo** oculta sus puntos finales de comunicación. Este enfoque ofrece ventajas significativas para los operadores de malware: * **Evasión de Desmantelamientos Tradicionales:** A diferencia de los servidores de C2 basados en dominios tradicionales, las direcciones **TON** no dependen de la jerarquía pública de DNS. * **Comunicaciones Cifradas:** El tráfico de red aparece como tráfico genérico de **TON**, indistinguible de las aplicaciones legítimas habilitadas para **TON**. Según **ThreatFabric**, "Los desmantelamientos de dominios tradicionales son en gran medida ineficaces porque los puntos finales del operador no dependen de la jerarquía pública de DNS y, en cambio, existen como identidades .adnl de TON resueltas dentro de la propia red superpuesta. La detección de patrones de tráfico en el borde de la red solo ve tráfico TON, que está cifrado e indistinguible del flujo de salida de cualquier otra aplicación habilitada para TON."  **Arquitectura operativa de TrickMo** *Fuente: ThreatFabric* ### Capacidades de TrickMo **TrickMo** mantiene un diseño modular, que consta de un APK cargador y un módulo descargado dinámicamente que contiene la funcionalidad maliciosa. Este malware es conocido por: * Superposiciones de phishing para robar credenciales bancarias * Registro de pulsaciones de teclas y grabación de pantalla * Intercepción de SMS y supresión de OTP * Modificación del portapapeles * Filtrado de notificaciones * Captura de capturas de pantalla La variante más nueva introduce los siguientes comandos nuevos: * `curl` * `dnsLookup` * `ping` * `telnet` * `traceroute` * Tunelización SSH * Reenvío de puertos remoto y local * Soporte de proxy SOCKS5 autenticado Los investigadores también observaron el framework de hooking del runtime **Pine**, utilizado anteriormente para interceptar operaciones de red y Firebase, pero actualmente está inactivo. ### Recomendaciones de Mitigación Para protegerse contra **TrickMo** y malware similar para Android, los usuarios deben: * Descargar aplicaciones solo de la **Google Play** Store. * Limitar el número de aplicaciones instaladas. * Usar aplicaciones solo de editores de confianza. * Asegurarse de que **Google Play Protect** esté habilitado. <div> ## [El 99% de lo que Mythos Encontró Sigue Sin Parchear.](https://hubs.li/Q04crVgD0) La IA encadenó cuatro zero-days en un solo exploit que eludió tanto los sandboxes del renderizador como los del sistema operativo. Se avecina una ola de nuevos exploits. En la Cumbre de Validación Autónoma (12 y 14 de mayo), vea cómo la validación autónoma y rica en contexto encuentra lo que es explotable, demuestra que los controles se mantienen y cierra el ciclo de remediación. [Reclama Tu Lugar](https://hubs.li/Q04crVgD0) </div>