Ataques de apropiación de dispositivos aprovechándose de personas mayores.

Los investigadores de ciberseguridad han detectado un troyano bancario para Android no documentado previamente llamado Datzbro que puede llevar a cabo ataques de apropiación de dispositivos ( DTO ) y realizar transacciones fraudulentas aprovechándose de personas mayores.

La empresa neerlandesa de seguridad móvil ThreatFabric afirmó haber descubierto la campaña en agosto de 2025 después de que usuarios en Australia denunciaran a estafadores que gestionaban grupos de Facebook que promocionaban «viajes activos para personas mayores». Otros territorios atacados por los actores de amenazas incluyen Singapur, Malasia, Canadá, Sudáfrica y el Reino Unido.

Las campañas, añadió, se centraban específicamente en personas mayores que buscaban actividades sociales, viajes, reuniones presenciales y eventos similares. Se ha descubierto que estos grupos de Facebook comparten contenido generado por inteligencia artificial (IA), afirmando organizar diversas actividades para personas mayores.

Si los posibles objetivos expresan su voluntad de participar en estos eventos, se les contacta posteriormente a través de Facebook Messenger o WhatsApp, donde se les pide que descarguen un archivo APK desde un enlace fraudulento (por ejemplo, «download.seniorgroupapps[.]com»).

«Los sitios web falsos incitaban a los visitantes a instalar una supuesta aplicación comunitaria, afirmando que les permitiría registrarse para eventos, conectarse con miembros y realizar un seguimiento de las actividades programadas», dijo ThreatFabric en un informe compartido con The Hacker News.

Curiosamente, también se ha descubierto que los sitios web contienen enlaces de marcador de posición para descargar una aplicación iOS, lo que indica que los atacantes buscan apuntar a ambos sistemas operativos móviles, distribuir aplicaciones TestFlight para iOS y engañar a las víctimas para que las descarguen.

Si la víctima hace clic en el botón para descargar la aplicación de Android, esto conduce a la implementación directa del malware en sus dispositivos o a la de un gotero creado utilizando un servicio de enlace de APK llamado Zombinder para eludir las restricciones de seguridad en Android 13 y versiones posteriores.

A continuación se enumeran algunas de las aplicaciones de Android que distribuyen Datzbro:

• Grupo de personas mayores (twzlibwr.rlrkvsdw.bcfwgozi)
• Años animados (orgLivelyYears.browses646)
• ActiveSenior (com.forest481.security)
• Onda de baile (inedpnok.kfxuvnie.mggfqzhl)
• 作业帮 (io.mobile.Itool）
• 麻豆传媒 (fsxhibqhbh.hlyzqkd.aois
• 麻豆传媒 (mobi.audio.aassistant)
• 谷歌浏览器 (tvmhnrvsp.zltixkpp.mdok)
• MT管理器 (varuhphk.vadneozj.tltldo)
• MT管理器 (spvojpr.bkkhxobj.twfwf)
• 大麦 (mnamrdrefa.edldylo.zish)
• MT管理器 (io.red.studio.tracker)

El malware, al igual que otros troyanos bancarios de Android, cuenta con una amplia gama de capacidades para grabar audio, capturar fotos, acceder a archivos y fotos, y realizar fraudes financieros mediante control remoto, ataques de superposición y keylogging. También se basa en los servicios de accesibilidad de Android para realizar acciones remotas en nombre de la víctima.

Una característica notable de Datzbro es el modo de control remoto esquemático, que permite al malware enviar información sobre todos los elementos que se muestran en la pantalla, su posición y contenido, para permitir a los operadores recrear el diseño en su extremo y controlar efectivamente el dispositivo.

El troyano bancario también puede actuar como una superposición negra semitransparente con texto personalizado para ocultar la actividad maliciosa a la víctima, así como robar el PIN de la pantalla de bloqueo del dispositivo y las contraseñas asociadas con Alipay y WeChat. Además, analiza los registros de eventos de accesibilidad en busca de nombres de paquetes relacionados con bancos o monederos de criptomonedas, y texto que contenga contraseñas, PIN u otros códigos.

«Este filtro muestra claramente el enfoque de los desarrolladores detrás de Datzbro, que no solo utilizan sus capacidades de spyware, sino que también lo convierten en una amenaza financiera», declaró ThreatFabric. «Gracias a sus capacidades de keylogging, Datzbro puede capturar con éxito las credenciales de inicio de sesión de aplicaciones de banca móvil introducidas por víctimas desprevenidas».

Se cree que Datzbro es obra de un grupo de amenazas de habla china, dada la presencia de cadenas de depuración y registro en chino en el código fuente del malware. Se ha descubierto que las aplicaciones maliciosas están conectadas a un backend de comando y control (C2) que es una aplicación de escritorio en chino, lo que la distingue de otras familias de malware que se basan en paneles C2 web.

ThreatFabric dijo que una versión compilada de la aplicación C2 se ha cargado en un recurso compartido de virus público, lo que sugiere que el malware puede haberse filtrado y estar siendo distribuido libremente entre los ciberdelincuentes.

«El descubrimiento de Datzbro pone de relieve la evolución de las amenazas móviles dirigidas a usuarios desprevenidos mediante campañas de ingeniería social», declaró la compañía. «Al centrarse en las personas mayores, los estafadores explotan la confianza y las actividades comunitarias para inducir a las víctimas a instalar malware. Lo que comienza como una promoción de un evento aparentemente inofensiva en Facebook puede derivar en robo de dispositivos, robo de credenciales y fraude financiero».

La revelación llega cuando IBM X-Force detalló una campaña de malware bancario AntiDot para Android con nombre en código PhantomCall que se ha dirigido a usuarios de las principales instituciones financieras a nivel mundial, abarcando España, Italia, Francia, EE. UU., Canadá, Emiratos Árabes Unidos e India, utilizando aplicaciones falsas de Google Chrome que pueden eludir los controles de Android 13 que impiden que las aplicaciones cargadas lateralmente exploten las API de accesibilidad.

Según un análisis publicado por PRODAFT en junio de 2025, AntiDot se atribuye a un actor de amenazas con motivaciones financieras llamado LARVA-398 y está disponible para otros bajo un modelo de Malware-as-a-Service (MaaS) en foros clandestinos.

La última campaña está diseñada para utilizar la API CallScreeningService para monitorear las llamadas entrantes y bloquearlas selectivamente según una lista generada dinámicamente de números de teléfono almacenados en las preferencias compartidas del teléfono, lo que permite efectivamente a los atacantes prolongar el acceso no autorizado, completar transacciones fraudulentas o retrasar la detección.

«PhantomCall también permite a los atacantes iniciar actividades fraudulentas enviando silenciosamente códigos USSD para redirigir llamadas, mientras abusan del CallScreeningService de Android para bloquear llamadas entrantes legítimas, aislando efectivamente a las víctimas y permitiendo la suplantación de identidad», dijo la investigadora de seguridad Ruby Cohen .

Estas capacidades desempeñan un papel fundamental en la organización de fraudes financieros de alto impacto, al aislar a las víctimas de los canales de comunicación reales y permitir que los atacantes actúen en su nombre sin levantar sospechas.

Actualizar#

Google compartió la siguiente declaración con The Hacker News luego de la publicación de la historia:

Los usuarios de Android están protegidos automáticamente contra versiones conocidas de este malware gracias a Google Play Protect, que está activado por defecto en dispositivos Android con los Servicios de Google Play. Google Play Protect puede advertir a los usuarios o bloquear aplicaciones con comportamiento malicioso, incluso si provienen de fuentes externas a Play.