- ThreatFabric ha encontrado nuevas variantes de TrickMo.C dirigidas a usuarios de Android en Europa
- Disfrazado de aplicación de streaming/TikTok, roba credenciales, intercepta SMS, suprime OTP y permite vigilancia en vivo.
- La mayoría de las víctimas se encontraban en Francia, Italia y Austria.
Los usuarios de Android en toda Europa están siendo atacados con una nueva variante de un troyano bancario que existe desde hace una década, según han revelado unos investigadores.
ThreatFabric explicó cómo ha estado rastreando un troyano bancario llamado TrickMo.C desde enero de 2026.
TrickMo es un troyano bancario para Android que se detectó por primera vez en septiembre de 2019, pero ha estado en desarrollo activo desde entonces y recibe actualizaciones constantes y nuevas funciones. En 2024, existían más de 40 variantes de TrickMo, que se distribuían a través de más de una docena de goteros y se comunicaban con 22 infraestructuras de comando y control (C2) separadas.
Extrayendo secretos de franceses, italianos y austriacos
Esta última versión está disfrazada de TikTok y una aplicación de streaming. Se desconoce el mecanismo exacto de implementación, pero es seguro asumir que los delincuentes lo anuncian en repositorios de aplicaciones de terceros, Telegram y canales de redes sociales, así como a través de phishing y venenos de SEO.
Cuando se instala en los dispositivos de destino, TrickMo.C crea una superposición de phishing a través de la cual puede recopilar credenciales de inicio de sesión y otros secretos valiosos. También puede registrar teclas, toques y golpes, grabar pantallas, transmitir contenido en vivo directamente a los atacantes e interceptar mensajes SMS. Puede suprimir notificaciones OTP, cambiar el portapapeles de los usuarios, filtrar notificaciones y enviar capturas de pantalla.
Todo esto permite a los atacantes robar credenciales, iniciar sesión en las cuentas bancarias y billeteras criptográficas de las personas, realizar pagos y transferencias bancarias y mantener a la víctima completamente a oscuras. Se informa que la mayoría de los muertos se encuentran en Francia, Italia y Austria.
Lo que diferencia a TrickMo.C de las versiones anteriores es que se comunica con su operador a través de TON, una red descentralizada de igual a igual construida principalmente en torno al ecosistema de Telegram. En lugar de utilizar servidores expuestos públicamente, los usuarios interactúan con la Web a través de una red superpuesta cifrada.
Los operadores utilizan direcciones ADNL enrutadas a través de servidores proxy TON locales integrados que se ejecutan en puntos finales infectados.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréguenos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
