{"id":226,"date":"2026-03-12T09:28:08","date_gmt":"2026-03-12T09:28:08","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/12\/seis-familias-de-malware-para-android-apuntan-a-pagos-pix-aplicaciones-bancarias-y-carteras-criptograficas-cyberdefensa-mx\/"},"modified":"2026-03-12T09:28:08","modified_gmt":"2026-03-12T09:28:08","slug":"seis-familias-de-malware-para-android-apuntan-a-pagos-pix-aplicaciones-bancarias-y-carteras-criptograficas-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/12\/seis-familias-de-malware-para-android-apuntan-a-pagos-pix-aplicaciones-bancarias-y-carteras-criptograficas-cyberdefensa-mx\/","title":{"rendered":"Seis familias de malware para Android apuntan a pagos Pix, aplicaciones bancarias y carteras criptogr\u00e1ficas \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Los investigadores de ciberseguridad han descubierto media docena de nuevas familias de malware para Android que cuentan con capacidades para robar datos de dispositivos comprometidos y realizar fraudes financieros.<\/p>\n

El malware para Android abarca desde troyanos bancarios tradicionales como PixRevoluci\u00f3n<\/strong>, TaxiSpy RATA<\/strong>, BeatBanker<\/strong>, mirax<\/strong>y RATA del olvido<\/strong> a herramientas completas de administraci\u00f3n remota como SURXRAT<\/strong>.<\/p>\n

PixRevolution, seg\u00fan Zimperium, apunta a la plataforma de pago instant\u00e1neo Pix de Brasil, secuestrando las transferencias de dinero de las v\u00edctimas en tiempo real para dirigirlas a los actores de la amenaza en lugar del beneficiario previsto.<\/p>\n

\u00abEsta nueva cepa de malware opera sigilosamente dentro del dispositivo hasta el momento en que la v\u00edctima inicia una transferencia Pix\u00bb, afirma el investigador de seguridad Aazim Yaswant. dicho<\/a>. \u00abLo que distingue a esta amenaza de los troyanos bancarios convencionales es su dise\u00f1o fundamental: un operador humano o agente de IA participa activamente en el extremo remoto, observando instant\u00e1neamente la pantalla del tel\u00e9fono de la v\u00edctima, preparado para actuar en el momento preciso de la transacci\u00f3n\u00bb.<\/p>\n

El malware de Android se propaga a trav\u00e9s de p\u00e1ginas falsas de listas de aplicaciones de Google Play Store para aplicaciones como Expedia, Sicredi y Correios para enga\u00f1ar a los usuarios para que instalen los archivos APK del dropper malicioso. Una vez instaladas, las aplicaciones instan a los usuarios a habilitar los servicios de accesibilidad para lograr sus objetivos.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Tambi\u00e9n se conecta a un servidor externo a trav\u00e9s de TCP en el puerto 9000 para enviar mensajes de latido peri\u00f3dicos que contienen informaci\u00f3n del dispositivo y activar la captura de pantalla en tiempo real utilizando la API MediaProjection de Android. La funcionalidad principal de PixRevolution, sin embargo, es monitorear la pantalla de la v\u00edctima y ofrecer una superposici\u00f3n falsa tan pronto como la v\u00edctima ingresa la cantidad deseada y el clave de foto<\/a> del destinatario para iniciar el pago.<\/p>\n

En ese momento, el troyano muestra una superposici\u00f3n WebView falsa que dice \u00abAguarde\u2026\u00bb (que significa \u00abesperar\u00bb en portugu\u00e9s\/espa\u00f1ol), mientras, en segundo plano, edita la clave Pix con la del atacante para completar la transferencia de fondos. En la etapa final, se elimina la superposici\u00f3n y a la v\u00edctima se le muestra una pantalla de confirmaci\u00f3n de \u00abtransferencia completa\u00bb en la aplicaci\u00f3n Pix.<\/p>\n

\u00abDesde la perspectiva de la v\u00edctima, no ocurri\u00f3 nada inusual\u00bb, dijo Yaswant. \u00abLa aplicaci\u00f3n mostr\u00f3 brevemente un indicador de carga, algo que ocurre rutinariamente durante operaciones bancarias leg\u00edtimas. La transferencia fue confirmada exitosamente. La cantidad que pretend\u00edan enviar fue deducida de su cuenta\u00bb.<\/p>\n

\"\"<\/a><\/div>\n

\u00abS\u00f3lo m\u00e1s tarde, a veces mucho m\u00e1s tarde, la v\u00edctima descubre que el dinero fue a la cuenta equivocada. Y como las transferencias Pix son instant\u00e1neas y definitivas, la recuperaci\u00f3n es extraordinariamente dif\u00edcil\u00bb.<\/p>\n

Los usuarios brasile\u00f1os tambi\u00e9n se han convertido en el objetivo de otra campa\u00f1a de malware basada en Android llamada BeatBanker, que se propaga principalmente a trav\u00e9s de ataques de phishing a trav\u00e9s de un sitio web disfrazado de Google Play Store. BeatBanker recibe su nombre del uso de un mecanismo de persistencia inusual que implica reproducir en bucle un archivo de audio casi inaudible, una grabaci\u00f3n de 5 segundos con palabras chinas, para evitar que se termine.<\/p>\n

Adem\u00e1s de incorporar comprobaciones de tiempo de ejecuci\u00f3n para entornos emulados o de an\u00e1lisis, el malware monitorea la temperatura y el porcentaje de la bater\u00eda y verifica si el usuario est\u00e1 usando el dispositivo para iniciar o detener el minero Monero seg\u00fan sea necesario. Utiliza Firebase Cloud Messaging (FCM) de Google para comando y control (C2).<\/p>\n

\u00abPara lograr sus objetivos, los APK maliciosos llevan m\u00faltiples componentes, incluido un minero de criptomonedas y un troyano bancario capaz de secuestrar completamente el dispositivo y falsificar pantallas, entre otras cosas\u00bb, Kaspersky dicho<\/a>. \u00abCuando el usuario intenta realizar una transacci\u00f3n USDT, BeatBanker crea p\u00e1ginas superpuestas para Binance y Trust Wallet, reemplazando de forma encubierta la direcci\u00f3n de destino con la direcci\u00f3n de transferencia del actor de la amenaza\u00bb.<\/p>\n

El m\u00f3dulo bancario tambi\u00e9n monitorea navegadores web como Chrome, Edge, Firefox, Brave, Opera, DuckDuckGo, Dolphin Browser y sBrowser hasta las URL a las que accede la v\u00edctima. Adem\u00e1s, admite la capacidad de recibir una larga lista de comandos del servidor para recopilar informaci\u00f3n personal y obtener un control total del dispositivo.<\/p>\n

Se ha descubierto que en iteraciones recientes de la campa\u00f1a se elimina BTMOB RAT en lugar del m\u00f3dulo bancario. Proporciona a los operadores control remoto integral, acceso persistente y vigilancia de dispositivos comprometidos. Se considera que BTMOB es una evoluci\u00f3n de las familias CraxsRAT, CypherRAT y SpySolr, todas las cuales han sido vinculadas a un actor de amenazas sirio que se conoce con el alias en l\u00ednea EVLF.<\/p>\n

\u00abTambi\u00e9n vimos la distribuci\u00f3n y venta de c\u00f3digo fuente BTMOB filtrado en algunos foros de la web oscura\u00bb, dijo el proveedor de seguridad ruso. \u00abEsto puede sugerir que el creador de BeatBanker adquiri\u00f3 BTMOB de su autor original o de la fuente de la filtraci\u00f3n y lo est\u00e1 utilizando como carga \u00fatil final\u00bb.<\/p>\n

TaxiSpy RAT, similar a PixRevolution, abusa del servicio de accesibilidad de Android y de las API MediaProjection para recopilar mensajes SMS, contactos, registros de llamadas, contenidos del portapapeles, lista de aplicaciones instaladas, notificaciones, PIN de la pantalla de bloqueo y pulsaciones de teclas, as\u00ed como apuntar a aplicaciones bancarias, criptomoneda y gubernamentales rusas al ofrecer superposiciones para llevar a cabo el robo de credenciales.<\/p>\n

El malware combina la funcionalidad del troyano bancario tradicional con capacidades RAT completas, lo que permite a los actores de amenazas recopilar datos confidenciales y ejecutar comandos enviados a trav\u00e9s de mensajes push de Firebase. Se han publicado varias muestras de TaxiSpy. descubierto<\/a> tanto por CYFIRMA como por Zimperium, lo que indica esfuerzos activos por parte de los atacantes para evadir la detecci\u00f3n basada en firmas y las defensas de listas negras.<\/p>\n

\"\"<\/a><\/div>\n

\u00abEl malware aprovecha t\u00e9cnicas de evasi\u00f3n avanzadas, como el cifrado de biblioteca nativo, la ofuscaci\u00f3n de cadenas XOR y el control remoto tipo VNC en tiempo real a trav\u00e9s de WebSocket\u00bb, CYFIRMA dicho<\/a>. \u00abSu dise\u00f1o permite una vigilancia integral de los dispositivos, incluidos SMS, registros de llamadas, contactos, notificaciones y monitoreo de aplicaciones bancarias, lo que destaca su enfoque espec\u00edfico de la regi\u00f3n y motivado financieramente\u00bb.<\/p>\n

Otro troyano bancario de Android digno de menci\u00f3n es mirax<\/a>que ha sido anunciado por un actor de amenazas llamado Mirax Bot como una oferta privada de malware como servicio (MaaS) por un precio mensual de 2500 d\u00f3lares por una versi\u00f3n completa o 1750 d\u00f3lares por una variante ligera. Mirax afirma ofrecer superposiciones bancarias, recopilaci\u00f3n de informaci\u00f3n (por ejemplo, pulsaciones de teclas, SMS, patrones de bloqueo) y un proxy SOCKS5 para enrutar el tr\u00e1fico malicioso a trav\u00e9s de dispositivos comprometidos.<\/p>\n

Mirax no es la \u00fanica oferta de Android MaaS detectada en los \u00faltimos meses. Un nuevo troyano de acceso remoto para Android llamado Oblivion se vende por unos 300 d\u00f3lares al mes (o 1.900 d\u00f3lares al a\u00f1o y 2.200 d\u00f3lares por acceso de por vida) y pretende eludir las funciones de detecci\u00f3n y seguridad de los dispositivos de los principales fabricantes.<\/p>\n

Una vez instalado, el malware emplea un mecanismo automatizado de concesi\u00f3n de permisos que no requiere interacci\u00f3n por parte de la v\u00edctima. Este enfoque, seg\u00fan el vendedor, funciona en MIUI\/HyperOS (Xiaomi), One UI (Samsung), ColorOS (OPPO), MagicOS (Honor) y OxygenOS (OnePlus).<\/p>\n

\u00abLo que lo distingue no es una caracter\u00edstica \u00fanica. Es la combinaci\u00f3n: omisi\u00f3n de permisos automatizada, control remoto oculto, persistencia profunda y un constructor de apuntar y hacer clic que pone todo al alcance de posibles piratas inform\u00e1ticos incluso con el nivel m\u00e1s m\u00ednimo de habilidad t\u00e9cnica\u00bb, Certos dicho<\/a>.<\/p>\n

\u00abGoogle ha hecho de las restricciones progresivas sobre el abuso de los servicios de accesibilidad una prioridad en las sucesivas versiones de Android. Una herramienta que elude de manera cre\u00edble esas protecciones en la \u00faltima versi\u00f3n, y lo hace en dispositivos de Samsung, Xiaomi, OPPO y otros, representa un verdadero desaf\u00edo para las defensas a nivel de plataforma\u00bb.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Tambi\u00e9n se distribuye comercialmente a trav\u00e9s de un ecosistema MaaS basado en Telegram una familia de malware para Android llamada SURXRAT<\/a>que se considera una versi\u00f3n mejorada de Arsink. El malware abusa de los permisos de accesibilidad para un control persistente y se comunica con una infraestructura C2 basada en Firebase para controlar los dispositivos infectados. El malware se comercializa en un canal de Telegram gestionado por un actor de amenazas indonesio.<\/p>\n

Lo notable de algunas de las nuevas muestras es la presencia de un componente de modelo de lenguaje grande (LLM), lo que indica que los actores de amenazas detr\u00e1s del malware est\u00e1n experimentando con capacidades de inteligencia artificial (IA), junto con la vigilancia tradicional. Dicho esto, la descarga del m\u00f3dulo LLM se activa solo cuando aplicaciones de juego espec\u00edficas est\u00e1n activas en el dispositivo de la v\u00edctima, o cuando recibe nombres de paquetes de destino alternativos de forma din\u00e1mica desde el servidor.<\/p>\n