Una nueva variante del troyano bancario TrickMo ha sido detectada, destacando por su uso innovador de la red TON como infraestructura de comando y control. Los atacantes implementan túneles SOCKS5 para crear pivotes de red en dispositivos Android infectados, facilitando el movimiento lateral hacia redes corporativas. Esta combinación permite ocultar comunicaciones y evadir detecciones, marcando una evolución en las técnicas de ataque móvil que exige nuevas estrategias de seguridad.
Túneles SOCKS5 y TON: la nueva ruta de ataque en Android 🛡️
TrickMo aprovecha la red TON para camuflar sus comunicaciones de comando y control, mientras que los túneles SOCKS5 convierten el dispositivo Android en un proxy malicioso. Esto permite a los atacantes redirigir tráfico a través del terminal comprometido, estableciendo un pivote hacia redes internas sin levantar sospechas. La técnica evita bloqueos tradicionales al usar canales descentralizados y protocolos de red no estándar, obligando a los equipos de seguridad a integrar análisis de riesgos y marcos de políticas que consideren el móvil como vector crítico.
Tu Android ahora es un proxy, y no para ver Netflix 😅
Porque nada dice confianza como que tu móvil se convierta en el pasadizo favorito de los ciberdelincuentes. Mientras tú haces scroll en Instagram, TrickMo usa tu Android como túnel SOCKS5 para que un atacante acceda a la red de tu empresa. Lo peor es que ni siquiera te pagan peaje. Así que ya sabes: si tu teléfono va más lento de lo normal, quizás no es la batería, es que está trabajando para otro jefe. Y ni siquiera cotiza a la Seguridad Social.