La aplicación de TikTok que acabas de instalar podría no ser lo que parece. Detrás de una interfaz familiar se oculta un mecanismo diseñado para vaciar cuentas bancarias.
Esta variante específica, identificada como TrickMo.C, ha sido rastreada por la firma ThreatFabric desde enero de 2026. No se trata de un experimento aislado sino de la evolución de una amenaza que lleva años perfeccionándose en las sombras del sistema Android.
El troyano evade los controles mediante redes descentralizadas
Lo más distintivo de esta nueva versión es su método de comunicación. Los operadores han abandonado los servidores tradicionales para utilizar la red TON, una infraestructura descentralizada de igual a igual nacida en el ecosistema de Telegram.
El malware establece contacto con sus creadores mediante direcciones ADNL. Estas conexiones pasan a través de un proxy TON local que se integra directamente en el terminal infectado, dificultando enormemente su bloqueo por parte de las autoridades.
Esta arquitectura permite a los atacantes mantener el control incluso si se caen otros puntos de la red. La tecnología aprovecha la resiliencia de los sistemas distribuidos para garantizar que el flujo de datos robados nunca se interrumpa.
La vigilancia total sobre el dispositivo comprometido
Una vez dentro, el software despliega una capa de phishing diseñada para extraer credenciales de acceso. Pero su capacidad de intrusión va mucho más allá de un simple formulario falso.
El programa registra cada pulsación y toque en la pantalla. Graba la actividad visual y retransmite el contenido en directo a los atacantes, quienes observan cada movimiento del usuario en tiempo real.
"El código suprime notificaciones de códigos de verificación y altera el portapapeles" - Analistas de ThreatFabric
Además de interceptar mensajes SMS, el malware filtra avisos del sistema para que la víctima no sospeche. Envía capturas de pantalla automáticas que permiten a los criminales navegar por las aplicaciones financieras sin restricciones.
Francia e Italia concentran la mayoría de infecciones
Los dispositivos afectados se encuentran mayoritariamente en Francia, Italia y Austria. Los responsables emplean estas funciones para acceder a cuentas bancarias y carteras de criptomonedas con total impunidad.
Desde esa posición privilegiada, ejecutan pagos y transferencias no autorizadas. La combinación de acceso remoto y ocultación de alertas convierte al teléfono en una herramienta financiera bajo control ajeno.
La distribución actual se realiza mediante más de una docena de droppers. Estos instaladores disfrazan el peligro bajo la apariencia de servicios de transmisión de vídeo o aplicaciones populares de entretenimiento.
TrickMo se identificó por primera vez en septiembre de 2019. Para 2024 ya existían más de 40 variantes distintas operando con 22 infraestructuras de mando y control separadas.