Imagínate abrir tu aplicación bancaria confiable, introducir tus credenciales y, sin saberlo, estar entregando toda tu información financiera a un ciberdelincuente. Eso es exactamente lo que está sucediendo con Rocinante, un troyano que está poniendo en jaque a miles de usuarios de Android en Brasil. Este malware se camufla como una aplicación bancaria legítima, pero su único objetivo es robar datos sensibles. Cada día, su alcance crece, y si usas un dispositivo Android, esta amenaza podría estar más cerca de lo que crees. ¿Cómo puedes protegerte de este peligro? Te contamos todo lo que necesitas saber.
Este tipo de malware tiene la capacidad de registrar las pulsaciones del teclado aprovechando el Servicio de Accesibilidad de Android, lo que le permite robar información personal de las víctimas mediante pantallas falsas que imitan las de diferentes bancos. Además, con los datos robados, los atacantes pueden llegar a tomar el control total del dispositivo, usando esos mismos permisos de accesibilidad para acceder de forma remota al teléfono o tableta infectados.
Conoce más sobre: Troyanos Bancarios: Creciente Amenaza en Latinoamérica
Algunos de los principales objetivos de este malware son instituciones financieras reconocidas, como Itaú Shop y Santander, junto con aplicaciones falsas que imitan a Bradesco Prime y Correios Celular, entre otras. También se han identificado versiones maliciosas de aplicaciones como Livelo Pontos, Correios Recarga y un supuesto "Módulo de Seguridad", todas diseñadas para engañar a los usuarios.
Un análisis del código del malware revela que sus operadores lo llaman internamente Pegasus o PegasusSpy, aunque no tiene ninguna relación con el conocido software espía Pegasus desarrollado por NSO Group. Según informes, este malware podría estar vinculado a un actor de amenazas llamado DukeEugene, que ya ha sido asociado con otros tipos de malware como ERMAC, BlackRock, Hook y Loot.
Se cree que Rocinante ha incorporado partes del código de ERMAC, filtrado en 2023, lo que sugiere que esta nueva amenaza podría ser una evolución de ese proyecto inicial. Es la primera vez que se observa cómo una familia de malware utiliza parcialmente un código filtrado de otra fuente, lo que indica que estas variantes podrían haber surgido de una misma base.
Rocinante se propaga principalmente a través de sitios web de phishing que engañan a los usuarios para que instalen aplicaciones falsas. Estas aplicaciones, una vez instaladas, solicitan permisos de accesibilidad para registrar las actividades del dispositivo, interceptar mensajes SMS y mostrar pantallas de inicio de sesión fraudulentas que imitan las de bancos reales.
El malware también se conecta a un servidor de comando y control (C2) para recibir instrucciones adicionales, como realizar toques y gestos de forma remota. Toda la información personal que recopila, como contraseñas, números de teléfono o detalles bancarios, se envía a un bot de Telegram, que formatea y publica estos datos en un chat privado al que los delincuentes tienen acceso. La información varía dependiendo de la página de inicio de sesión falsa utilizada, pero normalmente incluye detalles del dispositivo, modelo, número de teléfono, número de CPF y credenciales bancarias.
Te podrá interesar leer: Descubriendo los canales en Telegram de la Dark Web
La mejor defensa contra el malware como Rocinante es una combinación de buenas prácticas de ciberseguridad, el uso de herramientas de protección actualizadas y estar siempre alerta ante señales sospechosas. Aquí te ofrecemos algunos consejos clave para proteger tu dispositivo y tus datos financieros:
1. Descarga Aplicaciones Solo de Fuentes Oficiales: Uno de los vectores más comunes de infección de Rocinante es la descarga de aplicaciones desde tiendas no oficiales o enlaces sospechosos. Nunca descargues aplicaciones fuera de Google Play Store o la tienda oficial de tu dispositivo. Las tiendas oficiales cuentan con controles de seguridad más estrictos que pueden detectar y bloquear aplicaciones maliciosas antes de que lleguen a los usuarios.
2. Revisa los Permisos Solicitados por las Aplicaciones: Cuando instales una aplicación, asegúrate de revisar los permisos que solicita. Si una aplicación bancaria está pidiendo acceso a funciones que no tienen sentido para su propósito (como permisos para acceder a tus fotos o tus contactos), esto puede ser una señal de alarma. Desconfía siempre de aplicaciones que soliciten permisos innecesarios.
3. Utiliza Autenticación de Dos Factores (2FA): Aunque Rocinante puede interceptar códigos SMS en algunos casos, la autenticación de dos factores sigue siendo una medida de seguridad efectiva. Utiliza aplicaciones de autenticación en lugar de depender únicamente de mensajes de texto.
4. Mantén tu Sistema Operativo y Aplicaciones Actualizadas: Los ciberdelincuentes a menudo explotan vulnerabilidades en versiones antiguas del sistema operativo o aplicaciones. Asegúrate de que tanto tu dispositivo como tus aplicaciones estén siempre actualizados con las últimas versiones de seguridad.
5. Instala una Aplicación de Seguridad Móvil: Utiliza una solución de seguridad confiable para dispositivos móviles que ofrezca protección en tiempo real contra malware. Estas aplicaciones pueden ayudarte a detectar y eliminar amenazas antes de que causen daños.
6. Desconfía de Correos Electrónicos y Mensajes No Solicitados: Los ciberdelincuentes a menudo utilizan el phishing como medio para distribuir malware como Rocinante. Si recibes un correo electrónico o mensaje de texto que te pide que descargues una aplicación o que ingreses tus credenciales bancarias, verifica siempre la autenticidad del mensaje antes de actuar.
Conoce más sobre: 8 Indicios de Correos Electrónicos Falsos: ¿Cómo Identificarlos?
Rocinante es otro ejemplo de cómo los cibercriminales están afinando sus trucos para colarse en nuestros dispositivos y vaciar nuestras cuentas bancarias. Pero no te preocupes, con un poco de conocimiento y buenos hábitos, puedes mantener a raya a estos villanos digitales.
Así que ya sabes: descarga solo de fuentes confiables, mantén tu dispositivo actualizado y activa la autenticación de dos factores (tu mejor escudo contra sorpresas desagradables). Al final del día, la ciberseguridad es como un juego en equipo: si estás informado y preparado, los malos lo tienen mucho más difícil.