Investigadores de ciberseguridad han identificado una nueva versión del troyano bancario para Android **TrickMo** que utiliza **The Open Network (TON)** para las comunicaciones C2. Se ha observado que esta variante ataca activamente a usuarios de banca y billeteras de criptomonedas en Francia, Italia y Austria entre enero y febrero de 2026. **Capacidades en Evolución** Según un informe compartido con The Hacker News por **ThreatFabric**, "TrickMo se basa en un APK cargado en tiempo de ejecución (dex.module), utilizado también por la variante anterior, pero actualizado con nuevas funciones que añaden funcionalidad orientada a la red, incluyendo reconocimiento, túnel SSH y capacidades de proxy SOCKS5 que permiten que los dispositivos infectados funcionen como pivotes de red programables y nodos de salida de tráfico." **Historial de TrickMo** **TrickMo** es un malware de toma de control de dispositivos (DTO) activo desde finales de 2019. Fue señalado por primera vez por **CERT-Bund** y **IBM X-Force**, quienes detallaron su capacidad para abusar de los servicios de accesibilidad de Android para secuestrar contraseñas de un solo uso (OTP). Posee una amplia gama de funciones, incluyendo phishing de credenciales, registro de pulsaciones de teclas, grabación de pantalla, transmisión de pantalla en vivo e interceptación de SMS, otorgando efectivamente control remoto completo del dispositivo al operador. **TrickMo C: La Última Iteración** Las versiones más recientes, denominadas **TrickMo C**, se distribuyen a través de sitios web de phishing y aplicaciones dropper. Estos droppers entregan un APK cargado dinámicamente ("dex.module") recuperado en tiempo de ejecución de infraestructura controlada por el atacante. Un cambio arquitectónico clave es el uso de la blockchain descentralizada TON para comunicaciones C2 encubiertas. "TrickMo lleva un proxy TON nativo incrustado que el APK anfitrión inicia en un puerto de loopback al inicio del proceso", afirmó **ThreatFabric**. "El cliente HTTP del bot está conectado a través de ese proxy, por lo que cada solicitud de comando y control saliente se dirige a un nombre de host .adnl y se resuelve a través de la superposición de TON." Las aplicaciones dropper que contienen el malware se disfrazan como versiones de temática adulta de TikTok a través de Facebook, mientras que el malware real suplanta a los Servicios de Google Play. Los ejemplos incluyen: * com.app16330.core20461 o com.app15318.core1173 (Dropper) * uncle.collop416.wifekin78 o nibong.lida531.butler836 (TrickMo)  **Reconocimiento de Red y Capacidades de Proxy SOCKS5** Mientras que las versiones anteriores de "dex.module" implementaban el control remoto impulsado por accesibilidad a través de un canal basado en socket.io, la nueva versión utiliza un subsistema operativo de red. Esto transforma el malware en una herramienta de punto de apoyo administrado en lugar de un troyano bancario tradicional. El subsistema admite comandos como curl, dnslookup, ping, telnet y traceroute, proporcionando al atacante un "equivalente de shell remoto para el reconocimiento de red desde la posición de red de la víctima, incluida cualquier red corporativa o doméstica interna a la que el dispositivo esté actualmente asociado", según **ThreatFabric**. Otra característica significativa es un proxy SOCKS5, que convierte el dispositivo comprometido en un nodo de salida de red para enrutar tráfico malicioso, eludiendo las firmas de detección de fraude basadas en IP en servicios bancarios, de comercio electrónico y de intercambio de criptomonedas. **¿Expansión Futura?** Además, **TrickMo** contiene dos funciones inactivas que agrupan el framework de hooking Pine y declaran amplios permisos relacionados con NFC, aunque ninguna está implementada actualmente. Esto sugiere posibles expansiones futuras de las capacidades del troyano. **Sigilo y Evasión** "En lugar de depender de la infraestructura convencional de DNS e Internet pública, el malware se comunica a través de puntos finales .adnl enrutados a través de un proxy TON local incrustado, lo que reduce la efectividad de los esfuerzos tradicionales de desmantelamiento y bloqueo de red, al tiempo que hace que el tráfico se mezcle con la actividad legítima de TON", explicó **ThreatFabric**. "Esta última variante también amplía el rol operativo de los dispositivos infectados a través de túneles SSH y proxy SOCKS5 autenticado, convirtiendo efectivamente los teléfonos comprometidos en pivotes de red programables y nodos de salida de tráfico cuyas conexiones se originan en el propio entorno de red de la víctima."