Un incipiente troyano de acceso remoto para Android llamado mirax Se ha observado que se dirige activamente a países de habla hispana, con campañas que llegan a más de 220.000 cuentas en Facebook, Instagram, Messenger y Threads a través de anuncios en Meta.

«Mirax integra capacidades avanzadas de troyano de acceso remoto (RAT), lo que permite a los actores de amenazas interactuar completamente con los dispositivos comprometidos en tiempo real», dijo la empresa italiana de prevención de fraude en línea Cleafy. dicho.

«Más allá del comportamiento tradicional de RAT, Mirax mejora su valor operativo al convertir los dispositivos infectados en nodos proxy residenciales. Aprovechando el soporte del protocolo SOCKS5 y la multiplexación Yamux, establece canales proxy persistentes que permiten a los atacantes enrutar su tráfico a través de la dirección IP real de la víctima».

Los detalles de Mirax surgieron por primera vez el mes pasado cuando KrakenLabs de Outpost24 reveló que un actor de amenazas llamado «Mirax Bot» había estado anunciando una oferta privada de malware como servicio (MaaS) en foros clandestinos por 2.500 dólares por una suscripción de tres meses. También está disponible por $ 1,750 por mes una variante liviana que elimina ciertas funciones como el proxy y la capacidad de omitir Google Play Protect usando un cifrado.

Al igual que otros programas maliciosos de Android, Mirax admite la capacidad de capturar pulsaciones de teclas, robar fotos, recopilar detalles de la pantalla de bloqueo, ejecutar comandos, navegar por la interfaz de usuario y monitorear la actividad del usuario en el dispositivo comprometido. También puede recuperar dinámicamente páginas HTML superpuestas desde un servidor de comando y control (C2) para representarlas en aplicaciones legítimas para el robo de credenciales.

La incorporación de un proxy SOCKS, por otro lado, es una característica relativamente menos conocida que lo distingue del comportamiento RAT convencional. La botnet proxy ofrece varias ventajas porque permite a los actores de amenazas eludir las restricciones basadas en la geolocalización, evadir los sistemas de detección de fraude y realizar apropiaciones de cuentas o fraudes en transacciones bajo la apariencia de un mayor anonimato y legitimidad.

«A diferencia de las ofertas típicas de MaaS, Mirax se distribuye a través de un modelo exclusivo y altamente controlado, limitado a un pequeño número de afiliados», dijeron los investigadores Alberto Giust, Alessandro Strino y Federico Valentini. «El acceso parece tener prioridad para los actores de habla rusa con reputación establecida en las comunidades clandestinas, lo que indica un esfuerzo deliberado para mantener la seguridad operativa y la eficacia de la campaña».

Las cadenas de ataque que distribuyen el malware utilizan metaanuncios para promocionar páginas web de aplicaciones de cuentagotas, engañando a los usuarios desprevenidos para que las descarguen. Se han observado hasta seis anuncios. publicidad activa un servicio de streaming con acceso gratuito a deportes y películas en vivo. De ellos, cinco anuncios están dirigidos a usuarios de España. Uno de los anuncios, que comenzó a publicarse el 6 de abril de 2026, tiene un alcance de 190.987 cuentas.

Las URL de la aplicación cuentagotas implementan una serie de comprobaciones para garantizar que se acceda a ellas desde dispositivos móviles y para evitar que los escaneos automáticos revelen su verdadero color. Los nombres de las aplicaciones maliciosas se enumeran a continuación:

• StreamTV (org.lgvvfj.pluscqpuj o org.dawme.secure5ny) – Aplicación cuentagotas
• Reproductor de vídeo (org.yjeiwd.plusdc71 o org.azgaw.managergst1d) – Mirax

Un aspecto notable de la campaña es el uso de GitHub para alojar los archivos APK del dropper malicioso. Además, el panel de creación ofrece la posibilidad de elegir entre dos criptográficos, Virbox y Golden Crypt (también conocido como Golden Encryption), para una protección APK mejorada.

Una vez instalado, el dropper indica a los usuarios que permitan la instalación desde fuentes desconocidas para implementar el malware. El proceso de extracción de la carga útil final es una «operación sofisticada de varias etapas» que está diseñada para eludir el análisis de seguridad y las herramientas automatizadas de sandboxing.

El malware, después de instalarse en el dispositivo, se hace pasar por una utilidad de reproducción de vídeo y solicita a la víctima que habilite los servicios de accesibilidad, lo que le permite ejecutarse en segundo plano, mostrar un mensaje de error falso que indica que la instalación no tuvo éxito y mostrar superposiciones falsas para ocultar actividades maliciosas.

También establece múltiples canales C2 bidireccionales para tareas y exfiltración de datos.

• WebSocket en el puerto 8443, para gestionar el acceso remoto y ejecutar comandos remotos.
• WebSocket en el puerto 8444, para gestionar la transmisión remota y la exfiltración de datos.
• WebSocket en el puerto 8445 (o un puerto personalizado), para configurar el proxy residencial usando SOCKS5.

«Esta convergencia de capacidades RAT y proxy refleja un cambio más amplio en el panorama de amenazas», dijo Cleafy. «Si bien el abuso de proxy residencial se ha asociado históricamente con dispositivos IoT comprometidos y hardware Android de bajo costo, como televisores inteligentes, Mirax marca una nueva fase al incorporar esta funcionalidad dentro de un troyano bancario con todas las funciones».

«Este enfoque no sólo aumenta el potencial de monetización de cada infección, sino que también amplía el alcance operativo de los atacantes, que ahora pueden aprovechar los dispositivos comprometidos tanto para fraude financiero directo como como infraestructura para actividades cibercriminales más amplias».

La revelación se produce cuando Breakglass Intelligence detalló un RAT Android en idioma árabe llamado ASO RAT que se distribuye a través de aplicaciones disfrazadas de lectores de PDF y aplicaciones del gobierno sirio.

«La plataforma proporciona capacidades completas de compromiso del dispositivo: interceptación de SMS, acceso a cámaras, rastreo por GPS, registro de llamadas, exfiltración de archivos y lanzamiento de DDoS desde los dispositivos de las víctimas», dijo la compañía. dicho. «Un panel multiusuario con control de acceso basado en roles sugiere que esto funciona como un RAT como servicio o apoya a un equipo de múltiples operadores».

Actualmente no se sabe cuáles son los objetivos finales exactos de la campaña, pero los señuelos con temas sirios para las aplicaciones (por ejemplo, SyriaDefenseMap y GovLens) sugieren que puede estar apuntando a individuos con interés en asuntos militares o de gobernanza sirios como parte de lo que se sospecha que es una operación de vigilancia.

Han surgido detalles sobre una vulnerabilidad de seguridad ahora parcheada en un kit de desarrollo de software (SDK) de Android de terceros ampliamente utilizado llamado SDK de Engage Lab eso podría haber puesto en riesgo a millones de usuarios de billeteras de criptomonedas.

«Esta falla permite que las aplicaciones en el mismo dispositivo eviten la zona de pruebas de seguridad de Android y obtengan acceso no autorizado a datos privados», dijo el equipo de investigación de seguridad de Microsoft Defender. dicho en un informe publicado hoy.

EngageLab SDK ofrece una servicio de notificaciones pushque, según su sitio web, está diseñado para entregar «notificaciones oportunas» basadas en el comportamiento del usuario ya rastreado por los desarrolladores. Una vez integrado en una aplicación, el SDK ofrece una forma de enviar notificaciones personalizadas e impulsar la interacción en tiempo real.

El gigante tecnológico dijo que una cantidad significativa de aplicaciones que utilizan el SDK son parte del ecosistema de criptomonedas y billeteras digitales, y que las aplicaciones de billetera afectadas representaron más de 30 millones de instalaciones. Cuando se incluyen aplicaciones que no son de billetera creadas con el mismo SDK, el recuento de instalaciones supera los 50 millones.

Microsoft no reveló los nombres de las aplicaciones, pero señaló que todas las aplicaciones detectadas que utilizan versiones vulnerables del SDK se eliminaron de Google Play Store. Tras la divulgación responsable en abril de 2025, EngageLab lanzó versión 5.2.1 en noviembre de 2025 para abordar la vulnerabilidad.

El problema, identificado en la versión 4.5.4, se ha descrito como una vulnerabilidad de redirección de intención. Las intenciones en Android se refieren a objetos de mensajeria que se utilizan para solicitar una acción de otro componente de la aplicación.

La redirección de intención ocurre cuando el contenido de una intención que envía una aplicación vulnerable se manipula aprovechando su contexto confiable (es decir, permisos) para obtener acceso no autorizado a componentes protegidos, exponer datos confidenciales o escalar privilegios dentro del entorno de Android.

Un atacante podría aprovechar esta vulnerabilidad mediante una aplicación maliciosa instalada en el dispositivo a través de algún otro medio para acceder a directorios internos asociados con una aplicación que tenga el SDK integrado, lo que resultaría en un acceso no autorizado a datos confidenciales.

No hay evidencia de que la vulnerabilidad haya sido explotada alguna vez en un contexto malicioso. Dicho esto, se recomienda a los desarrolladores que integran el SDK que actualicen a la última versión lo antes posible, especialmente teniendo en cuenta que incluso las fallas triviales en las bibliotecas ascendentes pueden tener impactos en cascada y afectar a millones de dispositivos.

«Este caso muestra cómo las debilidades de los SDK de terceros pueden tener implicaciones de seguridad a gran escala, especialmente en sectores de alto valor como la gestión de activos digitales», dijo Microsoft. «Las aplicaciones dependen cada vez más de SDK de terceros, lo que crea dependencias grandes y a menudo opacas en la cadena de suministro. Estos riesgos aumentan cuando las integraciones exponen componentes exportados o se basan en suposiciones de confianza que no se validan a través de los límites de las aplicaciones».

Investigadores de ciberseguridad descubrieron una nueva versión del malware SparkCat en Apple App Store y Google Play Store, más de un año después de que se descubriera el troyano dirigido a ambos sistemas operativos móviles. Se ha descubierto que el malware se oculta dentro de aplicaciones aparentemente benignas, como mensajería empresarial y servicios de entrega de alimentos, mientras

The latest ThreatsDay Bulletin is basically a cheat sheet for everything breaking on the internet right now. No corporate fluff or boring lectures here, just a quick and honest look at the messy reality of keeping systems safe this week.

Things are moving fast. The list includes researchers chaining small bugs together to create massive backdoors, old software flaws coming back to haunt us, and some very clever new tricks that let attackers bypass security logs entirely without leaving a trace. We are also seeing sketchier traffic on the underground and the usual supply chain mess, where one bad piece of code threatens thousands of apps.

It is definitely worth a quick scan before you log off for the day, if only to make sure none of this is sitting in your own network. Let’s get into it.

Nothing here looks huge on its own. That’s the point. Small changes, repeated enough times, start to matter. Things that used to be hard are getting easier. Things that were noisy are getting quiet. You stop seeing the obvious signs and start missing the subtle ones.

Read it like a pattern, not a list. Same ideas showing up in slightly different forms. Systems doing what they’re designed to do—just used differently. That gap is where most problems live now. That’s the recap.

Google dijo el lunes que está implementando oficialmente la verificación de desarrollador de Android para todos los desarrolladores para combatir el problema de los malos actores que distribuyen aplicaciones dañinas mientras «se esconden detrás del anonimato».

El desarrollo se produce antes de un mandato de verificación planificado que entrará en vigor en Brasil, Indonesia, Singapur y Tailandia en septiembre, antes de expandirse a nivel mundial el próximo año.

Como parte de este esfuerzo, Google exige a los desarrolladores de aplicaciones que distribuyen aplicaciones fuera de Google Play que creen una cuenta en la Consola de desarrollador de Android para confirmar su identidad. Aquellos que distribuyen aplicaciones a través del mercado oficial de aplicaciones de Android y han verificado su identidad pueden «ya estar configurados», dijo el gigante tecnológico.

«Para la gran mayoría de los usuarios, la experiencia de instalar aplicaciones seguirá siendo exactamente la misma», dijo Matthew Forsythe, director de gestión de productos para Android App Safety. dicho. «Solo cuando un usuario intenta instalar una aplicación no registrada necesitará ADB o flujo avanzado, lo que nos ayuda a mantener segura a la comunidad en general y al mismo tiempo preserva la flexibilidad para nuestros usuarios avanzados».

Los desarrolladores de Android Studio pueden esperar ver el estado de registro de su aplicación directamente desde el entorno de desarrollo integrado (IDE) en los próximos dos meses cuando generen un App Bundle o APK firmado.

Los desarrolladores que hayan completado los requisitos de verificación de desarrollador de Play Console registrarán automáticamente sus aplicaciones de Play elegibles. Si no se puede registrar una aplicación, se solicita a los desarrolladores que sigan un proceso de reclamo de aplicación manual.

Como se anunció hace un par de semanas, los usuarios avanzados siempre tienen la opción de habilitar la descarga de archivos APK no registrados a través de un flujo avanzado que requiere un paso de autenticación para confirmar que están dando este paso por su propia voluntad y un período de espera único de 24 horas para disuadir a los estafadores.

«Este flujo es un proceso único para usuarios avanzados, pero fue diseñado cuidadosamente para evitar que aquellos que se encuentran en medio de un intento de estafa sean coaccionados por tácticas de alta presión para instalar software malicioso», dijo Forsythe.

El desarrollo llega como lo ha hecho Apple. revisado su Acuerdo de Licencia del Programa de Desarrolladores para hacer cumplir las reglas de privacidad con respecto al acceso de dispositivos portátiles de terceros a actividades y notificaciones en vivo.

Apple señaló explícitamente que terceros «no pueden usar la información de reenvío para publicidad, elaboración de perfiles, modelos de entrenamiento o monitoreo de ubicación», y agregó que «no pueden difundir la información de reenvío a ninguna otra aplicación ni a ningún otro dispositivo además de su accesorio de destino autorizado».

La sección recién agregada también enfatizó que los desarrolladores no pueden almacenar de forma remota ninguna información de reenvío en un servicio en la nube, realizar modificaciones que cambien «materialmente» el significado del contenido o descifrar los datos en cualquier otro lugar que no sea el propio accesorio.

Investigadores de ciberseguridad han revelado una nueva familia de malware para Android llamada Perseo que se está distribuyendo activamente en la naturaleza con el objetivo de realizar adquisición de dispositivos (DTO) y fraude financiero.

Perseus se basa en los cimientos de Cerberus y Phoenix, y al mismo tiempo evoluciona hacia una «plataforma más flexible y capaz» para comprometer dispositivos Android a través de aplicaciones de cuentagotas distribuidas a través de sitios de phishing.

«A través de sesiones remotas basadas en accesibilidad, el malware permite el monitoreo en tiempo real y la interacción precisa con los dispositivos infectados, lo que permite la toma total del dispositivo y se dirige a varias regiones, con un fuerte enfoque en Turquía e Italia», ThreatFabric dicho en un informe compartido con The Hacker News.

«Más allá del robo de credenciales tradicional, Perseus monitorea las notas de los usuarios, lo que indica un enfoque en extraer información personal o financiera de alto valor».

Cerbero era documentado por primera vez por la empresa holandesa de seguridad móvil en agosto de 2019, destacando el abuso del malware del servicio de accesibilidad de Android para otorgarse permisos adicionales, así como para robar datos y credenciales confidenciales al mostrar pantallas superpuestas falsas. Tras la filtración de su código fuente en 2020, han surgido múltiples variantes, incluidas Alien, ERMAC y Fénix.

Algunos de los artefactos distribuidos por Perseo se enumeran a continuación:

• Roja App Directa (com.xcvuc.ocnsxn) – Cuentagotas
• TvTApp (com.tvtapps.live) – Carga útil de Perseo
• PolBox Tv (com.streamview.players) – Carga útil de Perseus

El análisis de ThreatFabric ha descubierto que el malware se expande en el código base de Phoenix, y los actores de amenazas probablemente dependen de un modelo de lenguaje grande (LLM) para ayudar con el desarrollo. Esto se basa en indicadores como el registro extenso en la aplicación y la presencia de emojis en el código fuente.

Al igual que con el malware Massiv para Android recientemente revelado, Perseus se hace pasar por servicios de IPTV para dirigirse a los usuarios que buscan descargar dichas aplicaciones en sus dispositivos para ver contenido premium. Las campañas que distribuyen el malware se han dirigido principalmente a Turquía, Italia, Polonia, Alemania, Francia, los Emiratos Árabes Unidos y Portugal.

«Al incorporar su carga útil dentro de este contexto esperado, el malware Perseus reduce efectivamente la sospecha de los usuarios y aumenta las tasas de éxito de la infección, combinando la actividad maliciosa con un modelo de distribución comúnmente aceptado para dichos servicios», dijo ThreatFabric.

Una vez implementado, Perseus no funciona de manera diferente a otros programas maliciosos bancarios para Android, ya que lanza ataques de superposición y captura pulsaciones de teclas para interceptar las entradas del usuario en tiempo real y muestra interfaces falsas encima de aplicaciones financieras y servicios de criptomonedas para robar credenciales.

El malware también permite al operador emitir comandos de forma remota a través de un panel de comando y control (C2) y realizar y autorizar transacciones fraudulentas. Algunos de los comandos admitidos son los siguientes:

• notas_escaneopara capturar contenidos de varias aplicaciones para tomar notas, como Google Keep, Xiaomi Notes, Samsung Notes, ColorNote Notepad Notes, Evernote, Simple Notes Pro, Simple Notes y Microsoft OneNote (especifica el nombre de paquete incorrecto «com.microsoft.onenote» en lugar de «com.microsoft.office.onenote»).
• inicio_vncpara iniciar una transmisión visual casi en tiempo real de la pantalla de la víctima.
• parada_vncpara detener la sesión remota.
• inicio_hvncpara transmitir una representación estructurada de la jerarquía de la interfaz de usuario y permitir que el actor de amenazas interactúe con los elementos de la interfaz de usuario mediante programación.
• parada_hvncpara detener la sesión remota.
• enable_accessibility_screenshotpara permitir la realización de capturas de pantalla utilizando el servicio de accesibilidad.
• desactivar_accesibilidad_captura de pantallapara desactivar la realización de capturas de pantalla utilizando el servicio de accesibilidad.
• desbloquear_aplicaciónpara eliminar una aplicación de la lista de bloqueo.
• claro_bloqueadopara borrar toda la lista de aplicaciones bloqueadas.
• acción_pantalla negrapara mostrar una pantalla superpuesta en negro para ocultar la actividad del dispositivo al usuario.
• camisónpara silenciar el audio.
• clic_coordpara realizar un toque en coordenadas de pantalla específicas.
• instalar_desde_desconocidopara forzar la instalación desde fuentes desconocidas.
• inicio_aplicaciónpara iniciar una aplicación específica.

Perseus realiza una amplia gama de comprobaciones ambientales para detectar la presencia de depuradores y herramientas de análisis como Frida y Xposed, además de verificar si se ha insertado una tarjeta SIM, determinar la cantidad de aplicaciones instaladas y si es inusualmente baja, y validar los valores de la batería para asegurarse de que esté funcionando en un dispositivo real.

Luego, el malware combina toda esta información para formular una puntuación de sospecha general que se envía al panel C2 para decidir el siguiente curso de acción y si el operador debe proceder con el robo de datos.

«Perseus destaca la evolución continua del malware para Android, demostrando cómo las amenazas modernas se basan en familias establecidas como Cerberus y Phoenix al tiempo que introducen mejoras específicas en lugar de paradigmas completamente nuevos», dijo ThreatFabric.

«Sus capacidades, que van desde control remoto basado en accesibilidad y ataques de superposición hasta monitoreo de notas, muestran un claro enfoque en maximizar tanto la interacción con el dispositivo como el valor de los datos recopilados. Este equilibrio entre la funcionalidad heredada y la innovación selectiva refleja una tendencia más amplia hacia la eficiencia y la adaptabilidad en el desarrollo de malware».

Google está probando una nueva función de seguridad como parte del Modo de protección avanzada de Android (AAPM) que evita que ciertos tipos de aplicaciones utilicen la API de servicios de accesibilidad.

El cambio, incorporado en Android 17 Beta 2, fue reportado por primera vez por Android Authority la semana pasada.

AAPM fue introducido por Google en Android 16, lanzado el año pasado. Cuando activadohace que el dispositivo entre en un estado de mayor seguridad para protegerse contra ataques cibernéticos sofisticados. Al igual que el modo de bloqueo de Apple, la función de inclusión prioriza la seguridad a costa de una funcionalidad y usabilidad disminuidas para minimizar la superficie de ataque.

Algunos de los configuraciones centrales incluyen bloquear la instalación de aplicaciones de fuentes desconocidas, restringir la señalización de datos USB y exigir el escaneo de Google Play Protect.

«Los desarrolladores pueden integrar esta función utilizando el Administrador de protección avanzada API para detectar el estado del modo, lo que permite que las aplicaciones adopten automáticamente una postura de seguridad reforzada o restrinjan la funcionalidad de alto riesgo cuando un usuario ha optado por participar», Google anotado en su documentación que describe las características de Android 17.

La última restricción agregada a la configuración de seguridad de un toque tiene como objetivo evitar que las aplicaciones que no están clasificadas como herramientas de accesibilidad puedan aprovechar las funciones del sistema operativo. API de servicios de accesibilidad. Herramientas de accesibilidad verificadas, identificadas por el isAccessibilityTool=»true» indicadorestán exentos de esta regla.

Según Google, sólo los lectores de pantalla, los sistemas de entrada basados ​​en interruptores, las herramientas de entrada basadas en voz y los programas de acceso basados ​​en Braille están designados como herramientas de accesibilidad. El software antivirus, las herramientas de automatización, los asistentes, las aplicaciones de monitoreo, los limpiadores, los administradores de contraseñas y los lanzadores no entran en esta categoría.

Si bien AccessibilityService tiene sus casos de uso legítimos, como ayudar a usuarios con discapacidades a usar dispositivos y aplicaciones Android, en los últimos años los malos actores han abusado ampliamente de la API para robar datos confidenciales de dispositivos Android comprometidos.

Con el último cambio, a cualquier aplicación que no sea de accesibilidad y que ya tenga el permiso se le revocarán automáticamente sus privilegios cuando AAPM esté activo. Los usuarios tampoco podrán otorgar permisos a las aplicaciones para la API a menos que la configuración esté desactivada.

Android 17 también viene con un nuevo selector de contactos que permite a los desarrolladores de aplicaciones especificar solo los campos a los que desean acceder desde la lista de contactos de un usuario (por ejemplo, números de teléfono o direcciones de correo electrónico) o permitir a los usuarios seleccionar ciertos contactos con una aplicación de terceros.

«Esto le otorga a su aplicación acceso de lectura solo a los datos seleccionados, lo que garantiza un control granular y al mismo tiempo proporciona una experiencia de usuario consistente con capacidades integradas de búsqueda, cambio de perfil y selección múltiple sin tener que crear o mantener la interfaz de usuario», dijo Google.

Los investigadores de ciberseguridad han descubierto media docena de nuevas familias de malware para Android que cuentan con capacidades para robar datos de dispositivos comprometidos y realizar fraudes financieros.

El malware para Android abarca desde troyanos bancarios tradicionales como PixRevolución, TaxiSpy RATA, BeatBanker, miraxy RATA del olvido a herramientas completas de administración remota como SURXRAT.

PixRevolution, según Zimperium, apunta a la plataforma de pago instantáneo Pix de Brasil, secuestrando las transferencias de dinero de las víctimas en tiempo real para dirigirlas a los actores de la amenaza en lugar del beneficiario previsto.

«Esta nueva cepa de malware opera sigilosamente dentro del dispositivo hasta el momento en que la víctima inicia una transferencia Pix», afirma el investigador de seguridad Aazim Yaswant. dicho. «Lo que distingue a esta amenaza de los troyanos bancarios convencionales es su diseño fundamental: un operador humano o agente de IA participa activamente en el extremo remoto, observando instantáneamente la pantalla del teléfono de la víctima, preparado para actuar en el momento preciso de la transacción».

El malware de Android se propaga a través de páginas falsas de listas de aplicaciones de Google Play Store para aplicaciones como Expedia, Sicredi y Correios para engañar a los usuarios para que instalen los archivos APK del dropper malicioso. Una vez instaladas, las aplicaciones instan a los usuarios a habilitar los servicios de accesibilidad para lograr sus objetivos.

También se conecta a un servidor externo a través de TCP en el puerto 9000 para enviar mensajes de latido periódicos que contienen información del dispositivo y activar la captura de pantalla en tiempo real utilizando la API MediaProjection de Android. La funcionalidad principal de PixRevolution, sin embargo, es monitorear la pantalla de la víctima y ofrecer una superposición falsa tan pronto como la víctima ingresa la cantidad deseada y el clave de foto del destinatario para iniciar el pago.

En ese momento, el troyano muestra una superposición WebView falsa que dice «Aguarde…» (que significa «esperar» en portugués/español), mientras, en segundo plano, edita la clave Pix con la del atacante para completar la transferencia de fondos. En la etapa final, se elimina la superposición y a la víctima se le muestra una pantalla de confirmación de «transferencia completa» en la aplicación Pix.

«Desde la perspectiva de la víctima, no ocurrió nada inusual», dijo Yaswant. «La aplicación mostró brevemente un indicador de carga, algo que ocurre rutinariamente durante operaciones bancarias legítimas. La transferencia fue confirmada exitosamente. La cantidad que pretendían enviar fue deducida de su cuenta».

«Sólo más tarde, a veces mucho más tarde, la víctima descubre que el dinero fue a la cuenta equivocada. Y como las transferencias Pix son instantáneas y definitivas, la recuperación es extraordinariamente difícil».

Los usuarios brasileños también se han convertido en el objetivo de otra campaña de malware basada en Android llamada BeatBanker, que se propaga principalmente a través de ataques de phishing a través de un sitio web disfrazado de Google Play Store. BeatBanker recibe su nombre del uso de un mecanismo de persistencia inusual que implica reproducir en bucle un archivo de audio casi inaudible, una grabación de 5 segundos con palabras chinas, para evitar que se termine.

Además de incorporar comprobaciones de tiempo de ejecución para entornos emulados o de análisis, el malware monitorea la temperatura y el porcentaje de la batería y verifica si el usuario está usando el dispositivo para iniciar o detener el minero Monero según sea necesario. Utiliza Firebase Cloud Messaging (FCM) de Google para comando y control (C2).

«Para lograr sus objetivos, los APK maliciosos llevan múltiples componentes, incluido un minero de criptomonedas y un troyano bancario capaz de secuestrar completamente el dispositivo y falsificar pantallas, entre otras cosas», Kaspersky dicho. «Cuando el usuario intenta realizar una transacción USDT, BeatBanker crea páginas superpuestas para Binance y Trust Wallet, reemplazando de forma encubierta la dirección de destino con la dirección de transferencia del actor de la amenaza».

El módulo bancario también monitorea navegadores web como Chrome, Edge, Firefox, Brave, Opera, DuckDuckGo, Dolphin Browser y sBrowser hasta las URL a las que accede la víctima. Además, admite la capacidad de recibir una larga lista de comandos del servidor para recopilar información personal y obtener un control total del dispositivo.

Se ha descubierto que en iteraciones recientes de la campaña se elimina BTMOB RAT en lugar del módulo bancario. Proporciona a los operadores control remoto integral, acceso persistente y vigilancia de dispositivos comprometidos. Se considera que BTMOB es una evolución de las familias CraxsRAT, CypherRAT y SpySolr, todas las cuales han sido vinculadas a un actor de amenazas sirio que se conoce con el alias en línea EVLF.

«También vimos la distribución y venta de código fuente BTMOB filtrado en algunos foros de la web oscura», dijo el proveedor de seguridad ruso. «Esto puede sugerir que el creador de BeatBanker adquirió BTMOB de su autor original o de la fuente de la filtración y lo está utilizando como carga útil final».

TaxiSpy RAT, similar a PixRevolution, abusa del servicio de accesibilidad de Android y de las API MediaProjection para recopilar mensajes SMS, contactos, registros de llamadas, contenidos del portapapeles, lista de aplicaciones instaladas, notificaciones, PIN de la pantalla de bloqueo y pulsaciones de teclas, así como apuntar a aplicaciones bancarias, criptomoneda y gubernamentales rusas al ofrecer superposiciones para llevar a cabo el robo de credenciales.

El malware combina la funcionalidad del troyano bancario tradicional con capacidades RAT completas, lo que permite a los actores de amenazas recopilar datos confidenciales y ejecutar comandos enviados a través de mensajes push de Firebase. Se han publicado varias muestras de TaxiSpy. descubierto tanto por CYFIRMA como por Zimperium, lo que indica esfuerzos activos por parte de los atacantes para evadir la detección basada en firmas y las defensas de listas negras.

«El malware aprovecha técnicas de evasión avanzadas, como el cifrado de biblioteca nativo, la ofuscación de cadenas XOR y el control remoto tipo VNC en tiempo real a través de WebSocket», CYFIRMA dicho. «Su diseño permite una vigilancia integral de los dispositivos, incluidos SMS, registros de llamadas, contactos, notificaciones y monitoreo de aplicaciones bancarias, lo que destaca su enfoque específico de la región y motivado financieramente».

Otro troyano bancario de Android digno de mención es miraxque ha sido anunciado por un actor de amenazas llamado Mirax Bot como una oferta privada de malware como servicio (MaaS) por un precio mensual de 2500 dólares por una versión completa o 1750 dólares por una variante ligera. Mirax afirma ofrecer superposiciones bancarias, recopilación de información (por ejemplo, pulsaciones de teclas, SMS, patrones de bloqueo) y un proxy SOCKS5 para enrutar el tráfico malicioso a través de dispositivos comprometidos.

Mirax no es la única oferta de Android MaaS detectada en los últimos meses. Un nuevo troyano de acceso remoto para Android llamado Oblivion se vende por unos 300 dólares al mes (o 1.900 dólares al año y 2.200 dólares por acceso de por vida) y pretende eludir las funciones de detección y seguridad de los dispositivos de los principales fabricantes.

Una vez instalado, el malware emplea un mecanismo automatizado de concesión de permisos que no requiere interacción por parte de la víctima. Este enfoque, según el vendedor, funciona en MIUI/HyperOS (Xiaomi), One UI (Samsung), ColorOS (OPPO), MagicOS (Honor) y OxygenOS (OnePlus).

«Lo que lo distingue no es una característica única. Es la combinación: omisión de permisos automatizada, control remoto oculto, persistencia profunda y un constructor de apuntar y hacer clic que pone todo al alcance de posibles piratas informáticos incluso con el nivel más mínimo de habilidad técnica», Certos dicho.

«Google ha hecho de las restricciones progresivas sobre el abuso de los servicios de accesibilidad una prioridad en las sucesivas versiones de Android. Una herramienta que elude de manera creíble esas protecciones en la última versión, y lo hace en dispositivos de Samsung, Xiaomi, OPPO y otros, representa un verdadero desafío para las defensas a nivel de plataforma».

También se distribuye comercialmente a través de un ecosistema MaaS basado en Telegram una familia de malware para Android llamada SURXRATque se considera una versión mejorada de Arsink. El malware abusa de los permisos de accesibilidad para un control persistente y se comunica con una infraestructura C2 basada en Firebase para controlar los dispositivos infectados. El malware se comercializa en un canal de Telegram gestionado por un actor de amenazas indonesio.

Lo notable de algunas de las nuevas muestras es la presencia de un componente de modelo de lenguaje grande (LLM), lo que indica que los actores de amenazas detrás del malware están experimentando con capacidades de inteligencia artificial (IA), junto con la vigilancia tradicional. Dicho esto, la descarga del módulo LLM se activa solo cuando aplicaciones de juego específicas están activas en el dispositivo de la víctima, o cuando recibe nombres de paquetes de destino alternativos de forma dinámica desde el servidor.

• Free Fire MAX x JUJUTSU KAISEN (com.dts.freefiremax)
• Free Fire x JUJUTSU KAISEN (com.dts.freefireth)

Algunas muestras de SURXRAT también incorporan un módulo de bloqueo de pantalla estilo ransomware que hace posible que un operador remoto se apodere del control del dispositivo de una víctima y niegue el acceso mostrando un mensaje de bloqueo de pantalla completa hasta que se realice un pago.

«Esta evolución destaca cómo los actores de amenazas continúan reutilizando y ampliando los marcos RAT de Android existentes, acelerando los ciclos de desarrollo de malware y permitiendo la rápida introducción de nuevas funcionalidades de vigilancia y control», dijo Cyble. «La experimentación observada con la integración de grandes modelos de IA indica además que los actores de amenazas están explorando activamente tecnologías emergentes para mejorar la efectividad operativa y evadir la detección».

Google el lunes revelado que una falla de seguridad de alta gravedad que afecta a un componente de código abierto de Qualcomm utilizado en dispositivos Android ha sido explotada en la naturaleza.

La vulnerabilidad en cuestión es CVE-2026-21385 (Puntuación CVSS: 7,8), una lectura excesiva del búfer en el componente Gráficos.

«Corrupción de la memoria al agregar datos proporcionados por el usuario sin verificar el espacio disponible en el buffer», Qualcomm dicho en un aviso, describiéndolo como un desbordamiento de enteros.

El fabricante de chips dijo que se le informó sobre la falla a través del equipo de seguridad de Android de Google el 18 de diciembre de 2025. Los clientes fueron notificados sobre el defecto de seguridad el 2 de febrero de 2026.

Actualmente no hay detalles sobre cómo se está explotando la vulnerabilidad en la naturaleza. Sin embargo, Google reconoció en su boletín mensual de seguridad de Android que «hay indicios de que CVE-2026-21385 puede estar bajo explotación limitada y dirigida».

La actualización de Google de marzo de 2026 contiene parches para un total de 129 vulnerabilidades, incluida una falla crítica en el componente del sistema (CVE-2026-0006) que podría conducir a la ejecución remota de código sin requerir privilegios adicionales ni interacción del usuario. Por el contrario, Google abordó una vulnerabilidad de Android en enero de 2026 y ninguna el mes pasado.

Google también ha solucionado varios errores clasificados como críticos: un error de escalada de privilegios en Framework (CVE-2026-0047), una denegación de servicio (DoS) en el sistema (CVE-2025-48631) y siete fallas de escalada de privilegios en los componentes del Kernel (CVE-2024-43859, CVE-2026-0037, CVE-2026-0038, CVE-2026-0027, CVE-2026-0028, CVE-2026-0030 y CVE-2026-0031).

El boletín de seguridad de Android incluye dos niveles de parche (2026-03-01 y 2026-03-05) para brindar a los socios de Android la flexibilidad de abordar vulnerabilidades comunes en diferentes dispositivos más rápidamente.

El segundo nivel de parche incluye correcciones para los componentes del Kernel, así como los de Arm, Imagination Technologies, MediaTek, Qualcomm y Unisoc.

Google reveló el lunes una vulnerabilidad de día cero explotada activamente, advirtiendo que el defecto de alta gravedad que afecta a un componente de pantalla de código abierto de Qualcomm para dispositivos Android «puede estar bajo explotación limitada y dirigida».

La vulnerabilidad de la corrupción de la memoria CVE-2026-21385 – que el equipo de seguridad de Android de Google informó a Qualcomm el 18 de diciembre, afecta a 234 conjuntos de chips, dijo Qualcomm en un boletín de seguridad. Qualcomm dijo que notificó a los clientes sobre la vulnerabilidad el 2 de febrero.

Qualcomm se negó a decir cuándo ocurrió el primer caso conocido de explotación, cuántas víctimas se vieron afectadas directamente y qué ocurrió durante el período de 10 semanas entre el informe y la divulgación pública de la vulnerabilidad.

«Felicitamos a los investigadores del Grupo de Análisis de Amenazas de Google por utilizar prácticas de divulgación coordinadas», dijo un portavoz de Qualcomm a CyberScoop. «Las correcciones estuvieron disponibles para nuestros clientes en enero de 2026. Alentamos a los usuarios finales a aplicar actualizaciones de seguridad a medida que estén disponibles por parte de los fabricantes de dispositivos».

Un portavoz de Google dijo que Qualcomm marcó la vulnerabilidad como explotada. «No tenemos ninguna información ni acceso a los informes de explotación», añadió el portavoz.

Google solucionó 129 defectos en su actualización de seguridad mensual para dispositivos Android, lo que refleja un aumento en las divulgaciones de vulnerabilidades por parte del proveedor. La última actualización de seguridad de la compañía contiene la mayor cantidad de vulnerabilidades de Android parcheadas en un solo mes desde abril de 2018.

El programa público de divulgación e informes de vulnerabilidades de Google para Android ha sido desigual. La empresa normalmente publicaba docenas de parches de seguridad cada mes, pero esa cadencia se ha convertido en una rutina más ocasional.

En lo que va del año, Google abordó una vulnerabilidad de Android en enero y ninguna en febrero. También hubo pausas ocasionales el año pasado cuando Google no informó ninguna vulnerabilidad en julio y octubre, seis en agosto y dos vulnerabilidades en noviembre. Sin embargo, las divulgaciones para 2025 alcanzaron su punto máximo con 120 defectos en septiembre y repuntaron nuevamente en diciembre con 107 vulnerabilidades, incluidas dos de día cero.

Google respondió anteriormente a preguntas sobre caídas en la cantidad de vulnerabilidades que revela cada mes, señalando que sigue centrado en los defectos que representan el mayor peligro.

«Android detiene la mayor parte de la explotación de vulnerabilidades en la fuente con un amplio refuerzo de la plataforma, como nuestro uso del lenguaje Rust, seguro para la memoria, y protecciones antiexplotación avanzadas», dijo un portavoz de Google en diciembre. «Android y Pixel abordan continuamente las vulnerabilidades de seguridad conocidas y priorizan reparar y parchar primero las de mayor riesgo».

El boletín de seguridad de Android de marzo incluye dos niveles de parche (2026-03-01 y 2026-03-05), lo que permite a los socios de Android abordar vulnerabilidades comunes en diferentes dispositivos. Los fabricantes de dispositivos Android lanzan parches de seguridad según su propio calendario después de haber personalizado las actualizaciones del sistema operativo para su hardware específico.

La actualización de seguridad principal contiene 63 vulnerabilidades, incluidas 32 en el marco, 19 en el sistema y 12 que afectan a Google Play. Casi la mitad de esas vulnerabilidades tienen identificadores CVE a partir de 2025.

El segundo parche aborda 66 vulnerabilidades, incluidas 15 vulnerabilidades que afectan al kernel, un defecto de un componente Arm, siete fallas de Imagination Technologies y siete vulnerabilidades en los componentes de Unisoc.

El segundo nivel de parche también contiene correcciones para ocho vulnerabilidades en componentes de Qualcomm de código cerrado y siete defectos de alta gravedad en componentes de Qualcomm de código abierto, incluido CVE-2026-21385.

Google dijo que el código fuente de todas las vulnerabilidades abordadas en el boletín de seguridad de Android de este mes se publicará en el repositorio del Proyecto de Código Abierto de Android el miércoles.