Hoy en día usamos el celular para todo: manejar el banco, trabajar, hablar con amigos, guardar recuerdos, incluso para ver qué comemos. Literalmente, nuestra vida entera pasa por ese pequeño dispositivo que siempre llevamos encima. Justamente por eso, se ha vuelto el blanco perfecto para una nueva generación de malware que espía en silencio, sin que nadie se dé cuenta.
Hace poco, investigadores en ciberseguridad descubrieron algo preocupante: algunos grupos maliciosos están creando sitios web falsos que imitan a la perfección las páginas de descarga de la Google Play Store. Esos sitios no están ahí por casualidad, sino para hacerte instalar una app que en realidad es un malware llamado SpyNote. ¿Cómo lo hacen? Muy simple: se hacen pasar por aplicaciones populares como el navegador Chrome. Uno piensa que está descargando algo confiable, pero en realidad está invitando a un espía a su teléfono.
Y eso no es todo. Estos sitios vienen en inglés y en chino, y hasta han encontrado comentarios escritos en chino dentro del código del malware y de los sitios web. Esto da pistas de que se trata de una operación bien pensada y con bastante coordinación detrás. Lo inquietante es que SpyNote no está solo.
Otras dos amenazas (BadBazaar y Moonshine) también están activas, usando tácticas similares. Todas comparten el mismo objetivo: colarse en tu teléfono con una app falsa, y desde ahí espiar tus mensajes, seguir tus movimientos, acceder a tus archivos y básicamente, tener acceso a tu vida digital sin que lo notes.
SpyNote: El troyano espía que no desaparece y se reinventa
SpyNote, también conocido como SpyMax, no es precisamente nuevo en el mundo del malware. Lleva tiempo dando vueltas y es bastante conocido por su capacidad para acceder a datos sensibles en teléfonos Android, aprovechándose de los permisos de accesibilidad del sistema, esos que muchas veces activamos sin pensarlo dos veces.
En mayo de 2024 volvió a hacer ruido, esta vez distribuyéndose a través de un sitio web falso que se hacía pasar por una conocida herramienta antivirus. Todo parecía legítimo, pero detrás había un troyano listo para tomar el control.
Al analizarlo con más detalle, expertos notaron que tenía muchas similitudes con otro malware llamado Gigabud. Esto hizo pensar que tal vez ambos vienen del mismo lugar o de los mismos atacantes. En el caso de Gigabud, se sospecha que está vinculado con un grupo de habla china conocido como GoldFactory.
Además, no es la primera vez que SpyNote termina en manos de grupos con motivaciones políticas. A lo largo de los años, ha sido usado por hackers patrocinados por gobiernos, como el grupo OilAlpha, y otros actores aún no identificados que prefieren operar en las sombras.
Lo preocupante es que no estamos hablando de malware genérico que solo busca molestar: estas herramientas están diseñadas para el espionaje, y se están usando en campañas muy específicas, con objetivos reales y muchas veces delicados.
Al analizar algunos de los sitios falsos que distribuyen SpyNote, los expertos encontraron algo bastante inquietante: estas páginas incluyen un carrusel de imágenes (como los que ves en cualquier web moderna), pero con una trampa. Al hacer clic en una de esas imágenes, en lugar de ampliar la foto o redirigirte a otro sitio, se descarga automáticamente un archivo APK malicioso en tu teléfono.
Ese primer archivo no es el malware completo, sino una especie de "puerta de entrada", lo que se conoce como dropper. Su única tarea es instalar un segundo archivo APK, que viene oculto dentro del mismo paquete. Y ese segundo archivo, que se activa a través de una función del sistema cuando haces clic en un cuadro de diálogo, es donde empieza el verdadero problema: la ejecución de SpyNote.
Una vez que se instala, el malware pide de forma insistente un montón de permisos. Y si el usuario los concede (muchas veces sin pensar), el malware gana control total sobre el dispositivo.
¿Y qué puede hacer con ese acceso? Muchísimo. Roba mensajes de texto, contactos, registros de llamadas, ubicación, archivos... todo lo que puedas imaginar. Además, puede activar la cámara y el micrófono a distancia, manipular llamadas e incluso ejecutar comandos como si fueras tú quien lo está haciendo. En resumen, convierte tu teléfono en un espía al servicio de alguien más, y tú ni te enteras.
Todo esto sale a la luz en un momento en el que los ataques dirigidos a celulares están creciendo bastante. Solo en 2024, se registraron más de 4 millones de intentos de engaño usando ingeniería social (esos trucos diseñados para que hagas clic donde no debes). Además, se detectaron 427.000 apps maliciosas en dispositivos corporativos y más de 1.6 millones de apps con vulnerabilidades en ese mismo período. Casi nada.
Un dato que sorprende es que, en los últimos cinco años, los usuarios de iOS (sí, los de iPhone) han sido víctimas de más ataques de phishing que los de Android. Y 2024 marcó un récord: por primera vez, los ataques a iOS fueron más del doble que los dirigidos a Android. Así que eso de que el iPhone es “más seguro por naturaleza”... mejor pensarlo dos veces.
Conoce más sobre: ¿Qué es un archivo APK y qué debes saber antes de instalarlo?
Agencias internacionales alertan sobre BadBazaar y Moonshine
El panorama de las amenazas móviles se sigue complicando, y no solo por razones técnicas. Varias agencias de inteligencia y ciberseguridad de países como Australia, Canadá, Alemania, Nueva Zelanda, Reino Unido y Estados Unidos han lanzado una alerta conjunta sobre dos malware muy preocupantes: BadBazaar y Moonshine.
¿El motivo? Estos programas espía han sido usados para vigilar y atacar a comunidades específicas, como los uigures, taiwaneses y tibetanos. Y no se trata solo de espiar a unos pocos: los ataques han alcanzado a ONGs, periodistas, empresas y personas defensoras de derechos humanos que trabajan con o representan a estas comunidades.
Y lo más grave: aunque estos malware están diseñados para objetivos específicos, su forma de propagación online no discrimina. Eso significa que, si estás en el lugar y momento equivocado, podrías terminar con uno de estos malware en tu teléfono sin saberlo.
Tanto BadBazaar como Moonshine son troyanos capaces de robar datos muy personales desde teléfonos Android y también iPhones. Hablamos de acceso a tu ubicación, mensajes, fotos, archivos y más. ¿Cómo llegan a los dispositivos? Principalmente disfrazados de apps inofensivas: apps de mensajería, herramientas de utilidad, incluso apps con temática religiosa.
BadBazaar fue identificado públicamente por primera vez en 2022, pero se sospecha que lleva activo desde al menos 2018. Por su parte, Moonshine fue usado más recientemente por un grupo llamado Earth Minotaur, en campañas de vigilancia a largo plazo enfocadas especialmente en tibetanos y uigures.
BadBazaar, en particular, se ha relacionado con un grupo de hackers chinos conocido como APT15 (también llamados Flea, Nylon Typhoon, Nickel, Playful Taurus, Royal APT o Vixen Panda... sí, tienen muchos alias). Aunque su versión para iPhone es más limitada que la de Android, igual puede extraer información privada del dispositivo. En uno de los informes se mencionó que el principal objetivo era la comunidad tibetana dentro de China.
En el caso de Moonshine, los datos robados se envían a una infraestructura controlada por los atacantes. Ellos usan algo llamado SCOTCH ADMIN, un panel donde pueden ver qué dispositivos están comprometidos y qué tanto control tienen sobre cada uno. Para que te des una idea, solo en enero de 2024 se encontraron 635 dispositivos conectados a tres de esos paneles.
Todo esto muestra hasta qué punto la tecnología se ha vuelto parte de los conflictos geopolíticos y sociales. Lo que parecía un simple malware más, en realidad puede estar siendo usado como herramienta de represión y control, incluso más allá de las fronteras de un país.
