El ecosistema del cibercrimen móvil acaba de dar otro paso preocupante. Investigadores de seguridad descubrieron que el malware bancario para Android conocido como TrickMo comenzó a utilizar la blockchain TON (The Open Network) como mecanismo de comunicación encubierta entre los dispositivos infectados y la infraestructura controlada por los atacantes. La novedad marca un cambio importante en la evolución del malware móvil: los delincuentes ya no solo buscan robar credenciales bancarias, sino también esconder sus operaciones dentro de tecnologías descentralizadas extremadamente difíciles de bloquear o desmantelar.
La campaña fue revelada por investigadores de la empresa de ciberseguridad Zimperium y posteriormente reportada por BleepingComputer. Lo que hace especialmente relevante este descubrimiento no es únicamente el uso de blockchain, sino la forma en que TrickMo está adaptándose a un mundo donde las técnicas tradicionales de detección y bloqueo resultan cada vez menos efectivas.
Durante años, la mayoría de los troyanos bancarios dependieron de servidores centralizados de comando y control, conocidos como C2. Estos servidores funcionan como el “cerebro” del malware: reciben información robada, envían instrucciones y controlan el comportamiento de las infecciones. El problema para los atacantes es que esa arquitectura tiene un punto débil evidente. Si investigadores o fuerzas de seguridad identifican el servidor, pueden bloquearlo, incautarlo o derribarlo.
La adopción de blockchain cambia completamente esa ecuación.
En lugar de depender de infraestructura centralizada tradicional, TrickMo ahora aprovecha la red TON para almacenar o recuperar información necesaria para sus operaciones. Esto convierte el proceso de interrupción en algo muchísimo más complejo, porque las blockchains están diseñadas precisamente para resistir censura, caídas y eliminación de contenido.
TON, originalmente desarrollado por Telegram y posteriormente continuado por la comunidad open source, se convirtió en una de las redes blockchain con mayor crecimiento en los últimos años. Su integración parcial con el ecosistema Telegram y su velocidad relativamente alta hicieron que ganara popularidad rápidamente en aplicaciones descentralizadas, pagos y servicios Web3. Ahora también comienza a atraer interés del cibercrimen.
Los investigadores observaron que TrickMo utiliza transacciones y datos almacenados en TON como mecanismo para ocultar direcciones de servidores maliciosos o intercambiar información operativa. En lugar de mantener direcciones IP o dominios codificados directamente dentro del malware —algo relativamente fácil de detectar—, el troyano puede consultar datos publicados en blockchain y recuperar desde allí las instrucciones necesarias para continuar funcionando.
Eso tiene implicancias enormes para los sistemas de defensa tradicionales.
Cuando un malware utiliza dominios convencionales, los equipos de seguridad pueden bloquear DNS, cortar conexiones o registrar indicadores de compromiso relativamente rápido. Pero si la información está distribuida dentro de una blockchain pública, el escenario cambia radicalmente. No existe un único servidor que apagar. No hay una entidad central capaz de eliminar fácilmente el contenido. Incluso si parte de la infraestructura cae, los atacantes pueden seguir utilizando la red descentralizada para distribuir nuevos datos.
En términos prácticos, la blockchain empieza a funcionar como una especie de canal clandestino prácticamente permanente.
El caso refleja además una tendencia más amplia: los grupos criminales están aprendiendo a reutilizar tecnologías legítimas diseñadas para privacidad, resiliencia y descentralización. Lo mismo ocurrió anteriormente con Tor, IPFS, Discord, Telegram, GitHub e incluso Google Docs, todos utilizados en distintos momentos como infraestructura oculta para malware.
Lo que hace particularmente interesante a TON es que ofrece ciertas ventajas operativas muy atractivas para campañas maliciosas modernas. Las transacciones pueden automatizarse fácilmente, el acceso es global y la infraestructura distribuida dificulta enormemente los esfuerzos de interrupción. Además, el tráfico relacionado con blockchain puede mezclarse con actividad legítima, reduciendo sospechas.
TrickMo tampoco es un malware menor dentro del ecosistema Android. Se trata de un troyano bancario extremadamente sofisticado que lleva años evolucionando. Originalmente apareció como una herramienta orientada principalmente al robo de credenciales bancarias y autenticación de dos factores, pero con el tiempo incorporó capacidades mucho más avanzadas.
Entre sus funciones se incluyen ataques de overlay —pantallas falsas superpuestas sobre aplicaciones bancarias reales—, robo de SMS, interceptación de códigos MFA, grabación de pantalla y abuso de servicios de accesibilidad de Android para obtener control prácticamente total sobre el dispositivo infectado.
Los servicios de accesibilidad se convirtieron en uno de los objetivos favoritos del malware Android moderno porque permiten automatizar acciones, leer contenido de pantalla e interactuar con aplicaciones sin necesidad de explotar vulnerabilidades complejas. En muchos casos, el propio usuario termina otorgando permisos creyendo que son necesarios para alguna función legítima.
Según los investigadores, las nuevas versiones de TrickMo muestran un nivel de madurez técnica considerable. El malware utiliza técnicas de evasión, ofuscación y modularidad que dificultan tanto el análisis manual como la detección automatizada. La incorporación de blockchain parece ser parte de una evolución estratégica más amplia orientada a incrementar resiliencia y supervivencia frente a operaciones de desmantelamiento.
También existe otro aspecto relevante: la convergencia entre cibercrimen tradicional y ecosistemas cripto.
Durante años, las criptomonedas estuvieron asociadas principalmente al lavado de dinero, ransomware o pagos anónimos. Pero ahora las propias infraestructuras blockchain comienzan a utilizarse como componentes operativos del malware. Es un cambio conceptual importante. La blockchain deja de ser solamente un medio financiero y pasa a convertirse en una capa de comunicación para operaciones maliciosas.
Eso complica enormemente el trabajo de investigadores y empresas de seguridad. Muchas herramientas defensivas actuales fueron diseñadas alrededor de modelos centralizados de internet. Cuando el malware empieza a apoyarse en infraestructuras descentralizadas, esos enfoques pierden efectividad.
Además, el uso de tecnologías legítimas genera dilemas complejos. Bloquear completamente tráfico relacionado con blockchain puede ser inviable para muchas organizaciones, especialmente si utilizan servicios Web3 legítimos. Los atacantes aprovechan precisamente esa ambigüedad.
El crecimiento explosivo del malware móvil también amplifica el problema. Los smartphones ya no contienen únicamente mensajes y contactos. Hoy almacenan autenticación bancaria, billeteras digitales, acceso corporativo, sistemas MFA, información biométrica y credenciales críticas. Para los grupos criminales, comprometer un teléfono inteligente puede resultar incluso más valioso que infectar una PC tradicional.
Android sigue siendo el principal objetivo debido a su enorme cuota de mercado y a la fragmentación del ecosistema. Diferentes fabricantes, capas de personalización y retrasos en actualizaciones crean superficies de ataque muy amplias. Además, muchos usuarios continúan instalando aplicaciones desde fuentes externas o concediendo permisos excesivos sin demasiada verificación.
Los investigadores recomiendan prestar especial atención a solicitudes sospechosas relacionadas con servicios de accesibilidad, instalación de APK fuera de Google Play y permisos innecesarios. Sin embargo, el problema real parece mucho más profundo. TrickMo demuestra que el malware móvil moderno ya no depende únicamente de técnicas simples de phishing o robo de SMS. Ahora incorpora arquitecturas resilientes, canales descentralizados y métodos avanzados de evasión inspirados en amenazas tradicionalmente vistas en entornos de escritorio o espionaje avanzado.
La utilización de TON probablemente no será un caso aislado. A medida que blockchain y tecnologías descentralizadas continúen creciendo, es esperable que más grupos criminales experimenten con ellas para ocultar comunicaciones, distribuir payloads o mantener persistencia operativa.
En cierto sentido, el caso TrickMo anticipa una nueva etapa del cibercrimen: una donde las infraestructuras descentralizadas diseñadas para libertad y resistencia también terminan ofreciendo ventajas estratégicas a actores maliciosos.
Y una vez que esas técnicas demuestran ser efectivas, rara vez permanecen exclusivas de un solo grupo por mucho tiempo.