Tu teléfono Android podría estar trabajando para los ciberdelincuentes sin que te des cuenta. Un nuevo malware, conocido como DroidBot, está haciendo de las suyas al intentar robar credenciales de más de 77 apps bancarias y de criptomonedas en países como Reino Unido, Italia, Francia, España y Portugal.
Según los investigadores de Cleafy, quienes descubrieron esta amenaza, DroidBot está activo desde junio de 2024 y funciona como una especie de "malware por suscripción". Sí, leíste bien: los ciberdelincuentes lo venden como un servicio (MaaS) por nada menos que 3,000 dólares al mes para quienes quieran usarlo.
Hasta ahora, al menos 17 grupos afiliados han personalizado este malware para atacar objetivos específicos. Aunque no es el malware más sofisticado del mercado, los datos de una de sus botnets mostraron 776 infecciones únicas en países como Reino Unido, Italia, Francia, Turquía y Alemania, lo que deja claro que está teniendo un impacto preocupante.
Por si fuera poco, parece que DroidBot aún está en pleno desarrollo, y todo apunta a que los ciberdelincuentes detrás de esta amenaza están planeando expandir su alcance a nuevas regiones, incluida América Latina.
Así Funciona el "Malware como Servicio" de DroidBot
Los creadores de DroidBot, que aparentemente tienen origen turco, han montado todo un negocio para facilitarles el trabajo a los ciberdelincuentes. Básicamente, ofrecen un paquete completo con todo lo que necesitan para realizar ataques: un generador de malware, servidores de comando y control (C2), y hasta un panel central desde donde pueden manejar sus operaciones, robar datos y ejecutar órdenes.
Los creadores afirman que DroidBot funciona bien en Android 14 (Fuente: Cleafy)
Lo interesante (y preocupante) es que múltiples grupos afiliados usan esta misma infraestructura C2. Cada uno tiene un identificador único, lo que permitió a los investigadores identificar al menos 17 grupos de amenazas activos que operan con DroidBot.
Además, el generador de malware permite a los afiliados personalizarlo para atacar aplicaciones específicas, adaptarlo a diferentes idiomas y configurar direcciones C2 adicionales. Todo esto hace que DroidBot sea increíblemente flexible para cualquier tipo de ataque.
Por si fuera poco, a los "clientes" de este servicio también se les ofrece documentación detallada, soporte directo de los desarrolladores del malware y acceso a un canal de Telegram donde comparten actualizaciones frecuentes.
En resumen, esta operación de "malware como servicio" (MaaS) hace que incluso personas con poca experiencia o habilidades técnicas puedan convertirse en ciberdelincuentes con solo pagar por este "kit". Es un negocio redondo para los creadores de DroidBot y una gran amenaza para todos los demás.
Panel de administración que ofrece a los afiliados un control total (Fuente: Cleafy)
Te podrá interesar leer: Malware ToxicPanda Roba Datos Bancarios en América Latina
DroidBot: Malware que suplanta la identidad de aplicaciones populares
DroidBot no es cualquier malware. Para engañar a los usuarios, se disfraza como apps de confianza como Google Chrome, Google Play Store o incluso como una supuesta herramienta llamada "Android Security". Con este truco, logra que las personas lo instalen creyendo que están protegiendo su dispositivo, cuando en realidad están dejando la puerta abierta al robo de información sensible.
En todos los casos, DroidBot funciona como un troyano diseñado para robar datos confidenciales, como contraseñas, credenciales bancarias y más. Pero, ¿qué lo hace tan peligroso? Estas son algunas de sus principales herramientas:
- Keylogging: Registra cada pulsación de tecla que haces, capturando contraseñas, nombres de usuario y cualquier dato que escribas.
- Pantallas de superposición (Overlay): Coloca páginas de inicio de sesión falsas sobre apps bancarias legítimas para que ingreses tus credenciales sin darte cuenta de que estás siendo engañado.
- Interceptación de SMS: Secuestra tus mensajes, especialmente aquellos que contienen códigos de un solo uso (OTP) para inicios de sesión o transacciones.
- Control remoto (VNC): Los atacantes pueden ver y manejar tu dispositivo de forma remota, ejecutar comandos e incluso oscurecer la pantalla para ocultar su actividad maliciosa.
Uno de los trucos más sucios de DroidBot es el uso de los Servicios de Accesibilidad de Android. Con este permiso, puede monitorear tus acciones, simular clics y toques, y controlar el dispositivo sin que lo notes. Si alguna app que instalas solicita este tipo de permisos sin motivo claro, desconfía de inmediato y rechaza la solicitud.
Entre las 77 apps financieras que este malware intenta atacar, se encuentran nombres muy conocidos como Binance, KuCoin, BBVA, Santander, Kraken, Metamask, BNP Paribas y Credit Agricole, entre otras.
Aplicaciones de enmascaramiento de DroidBot (Fuente: Cleafy)
Conoce más sobre: ¿Qué Hacer ante Códigos de Inicio No Solicitados?
¿Cómo Protegerte de DroidBot?
Para evitar caer en las garras de este malware, sigue estas recomendaciones:
- Descarga apps solo de Google Play: Evita instalar aplicaciones de fuentes desconocidas o enlaces sospechosos.
- Revisa los permisos: Si una app pide permisos raros, como acceso a los Servicios de Accesibilidad, mejor no instales nada.
- Activa Google Play Protect: Esta herramienta está diseñada para detectar y bloquear apps maliciosas antes de que hagan daño.
- Mantén tus apps actualizadas: Tanto el sistema operativo como las aplicaciones deben estar siempre en su última versión para evitar vulnerabilidades.
DroidBot no es un malware cualquiera; es una amenaza seria que está apuntando a apps financieras muy usadas. La clave está en mantenerte alerta, ser cuidadoso con lo que instalas y tomar medidas de seguridad básicas. ¡No le hagas el trabajo fácil a los ciberdelincuentes!
