Con especial atención a las aplicaciones móviles y los dispositivos conectados no gestionados, este resumen de amenazas a la ciberseguridad de VMX Labs ha sido elaborado por investigadores de ciberseguridad y científicos de datos de Verimatrix. Incluye enlaces a avisos de amenazas destacadas del último mes, información sobre vulnerabilidades y parches, y enlaces a informes de inteligencia recientes.

Información sobre amenazas

  • Copybaraun troyano bancario para Android, se dirige a usuarios de banca móvil en Italia y España. VMX Labs descubrió que el malware ataca 781 aplicaciones móviles -principalmente aplicaciones bancarias- y es capaz de realizar ataques superpuestos en al menos 425 de ellas.

  • CrocodilusCrocodilus, un sofisticado troyano bancario para Android recientemente descubierto, tiene como objetivo instituciones financieras de España y Turquía, así como varias carteras de criptomonedas. Desde su aparición en el panorama de las amenazas móviles, ha utilizado técnicas avanzadas como el control remoto, la superposición de pantallas en negro y el registro de accesibilidad. Además, incorpora funcionalidades básicas de troyanos bancarios, como ataques de superposición y registro de pulsaciones de teclas, para facilitar la toma de control total del dispositivo. control total del dispositivo.

  • DocSwap, un programa espía para Android, se dirige a usuarios de Corea del Sur haciéndose pasar por una aplicación de autenticación para ver documentos. Se atribuye al grupo APT norcoreano Kimsuky.

  • KoSpy, un nuevo programa espía para Android atribuido al grupo de ciberespionaje ScarCruft (también conocido como APT37), dirigido principalmente a usuarios de Corea del Sur. Se distribuye a través de Google Play Store y tiendas de aplicaciones de terceros como APKPure, disfrazado de aplicaciones de utilidad como File Manager, Software Update Utility y Kakao Security, para infectar a sus objetivos. KoSpy puede robar gran cantidad de información personal y registrar las pulsaciones del teclado mediante abusando del servicio de accesibilidad de Android.

  • Lucid, una plataforma Phishing-as-a-Service (PhAAS) altamente sofisticada operada por actores de amenazas de habla china, se dirige a 169 organizaciones de 88 países. Con 129 instancias activas y más de 1.000 dominios registrados, se encuentra entre las plataformas PhAAS más destacadas, junto con Darcula y Lighthouse. Su modelo escalable, basado en suscripciones, permite a los ciberdelincuentes lanzar campañas de phishing generalizadas destinadas a obtener información de tarjetas de crédito para cometer fraudes financieros. La plataforma cuenta con un sistema automatizado de entrega de ataques que despliega sitios web de phishing personalizables, distribuidos principalmente a través de señuelos basados en SMS. Para maximizar la eficacia, Lucid aprovecha la tecnología iMessage de Apple y RCS de Android, eludiendo los filtros de spam de SMS tradicionales y mejorando significativamente las tasas de entrega y éxito.

  • El fraude por relés NFC está aumentando en Estados Unidos. Las fuerzas del orden de al menos dos estados de EE.UU. han detenido por separado a ciudadanos chinos acusados de llevar a cabo una nueva forma de fraude "toque para pagar mediante dispositivos móviles.

  • El troyano bancario OctoV2 troyano bancario para Android se distribuye a través de sitios web de phishing que suplantan a la popular plataforma DeepSeek AI DeepSeek.

  • Las estafas por tarifas de aparcamiento están aumentando en Estados Unidos. Los estafadores utilizan ahora URL de redireccionamiento de Google (por ejemplo, google.com/url?q={ URL de phishing}) para eludir las protecciones contra phishing de la aplicación Mensajes de Apple. Esta táctica hace que los enlaces maliciosos parezcan fiables, engañando a los usuarios para que visiten sitios web falsos de multas de aparcamiento diseñados para robar información personal y financiera.

  • PJobRAT, un troyano de acceso remoto (RAT) para Android identificado por primera vez en 2019, fue reportado en 2021 como objetivo de personal militar indio haciéndose pasar por aplicaciones populares de citas y mensajería. Desde entonces, el malware ha permanecido en gran medida sin ser detectado -hasta que salió a la luz una reciente campaña dirigida a usuarios de Taiwán. PJobRAT es capaz de extraer mensajes SMS, listas de contactos, datos de dispositivos y aplicaciones, documentos y archivos multimedia de los dispositivos infectados.

  • Las plataformas de criptoinversión fraudulentas utilizan esquemas piramidales para estafar a las víctimas a través de sitios web y aplicaciones móviles. La campaña se dirige principalmente a usuarios de las regiones de África Oriental y Asia haciéndose pasar por marcas conocidas, plataformas de criptomoneda y organizaciones populares.

  • Tribu Transparente, un grupo de amenazas persistentes avanzadas (APT) con sede en Pakistán, distribuye programas espía a través de un sitio web falso de India Post. El programa espía anima a las víctimas a instalar una aplicación de casino que, aunque al principio funciona con normalidad, pronto les pide que introduzcan sus datos de pago para continuar.

  • TsarBot es un troyano bancario para Android descubierto recientemente que se dirige a más de 750 aplicaciones de todo el mundo, incluidas las de banca, finanzas, criptomoneda y comercio electrónico.. Se propaga a través de sitios web de phishing que se hacen pasar por plataformas financieras legítimas y se instala a través de un dropper disfrazado de Google Play Services. Una vez activo, TsarBot utiliza ataques de superposición para robar información confidencial, como credenciales bancarias, detalles de tarjetas de crédito y datos de inicio de sesión. También puede grabar y controlar remotamente la pantalla del dispositivo, simulando acciones del usuario como deslizar, tocar e introducir credenciales mientras oculta su actividad con una superposición negra. La comunicación con su servidor de mando y control (C2) se realiza mediante WebSocket a través de varios puertos, lo que le permite recibir comandos, filtrar datos robados y realizar fraudes en el dispositivo.

  • VaporVapor, una campaña de malware para Android a gran escala que incluye cientos de aplicaciones maliciosas distribuidas a través de Google Play Store y plataformas de terceros, está dirigida principalmente a los siguientes objetivos el fraude publicitario y el robo de credenciales. Se han identificado al menos 331 apps maliciosas para Android, que en conjunto han alcanzado más de 60 millones de descargas. Estas aplicaciones están diseñadas para eludir la detección ocultando sus iconos del lanzador, una técnica que se cree restringida en las versiones más recientes de Android. Aunque muchas mantienen la funcionalidad básica para parecer legítimas, pueden mostrar anuncios fuera de contexto sobre otras aplicaciones en primer plano, saltándose los requisitos de permiso habituales. Algunas variantes van más allá e intentan suplantar las credenciales del usuario, incluidos los datos de acceso y de la tarjeta de crédito. En particular, estas aplicaciones pueden iniciarse automáticamente sin interacción del usuario, aprovechando una vulnerabilidad que debería estar técnicamente bloqueada en Android 13 y versiones posteriores.

  • .NET MAUI, el marco de desarrollo de aplicaciones multiplataforma de Microsoft en C# para Android, iOS, Windows y macOS (sucesor de Xamarin), es ciberdelincuentes utilizan para el desarrollo de malware. Actúa como un tipo especial de empaquetador, permitiendo que el malware evada la detección.

Vulnerabilidades y parches

  • Una vulnerabilidad de confusión de direcciones en la red Find My permite a un atacante remoto transformar cualquier dispositivo con capacidad Bluetooth en un rastreador similar a AirTag. Este exploit, conocido como nRootTagpermite el seguimiento de la ubicación en tiempo real aprovechando más de 1.500 millones de iPhones en todo el mundo como repetidores involuntarios para el atacante. Apple abordó el problema en la versión iOS 18.2 iOS 18.2.

  • Google ha parcheado dos vulnerabilidades activamente explotadas: un fallo del componente Framework (CVE-2024-43093) y una vulnerabilidad del Kernel (CVE-2024-50302), ambas conducentes a una escalada de privilegios. Estas correcciones se incluyeron en los niveles de parche de seguridad de Android 2025-03-01 y 2025-03-05.

  • Apple ha parcheado una vulnerabilidad activamente explotada (CVE-2025-24201) en la versión iOS 18.3.2 iOS 18.3.2. El fallo permite que el contenido web malintencionado escape al sandbox de contenido web y se utilizó en un ataque muy sofisticado dirigido a personas concretas.

  • WhatsApp parcheó una vulnerabilidad de día cero y clic cero que se aprovechó para instalar Graphite, un programa espía mercenario desarrollado por Paragon Solutions. El fallo permitía a los atacantes comprometer dispositivos sin interacción del usuario y se utilizó en operaciones de vigilancia selectiva contra periodistas y miembros de la sociedad civil.

Informes de inteligencia

  • Anubis, Necro y AhMyth fueron las tres principales amenazas de malware móvil en febrero, según el informe Malware Spotlight de Check Point. de Check Point.

  • Kaspersky informó de que interceptó aproximadamente 33,3 millones de ataques en 2024 relacionados con malware, adware y otras formas de software móvil no deseado. El adware fue el más prevalente, representando el 35% de todas las detecciones. La empresa identificó 1,1 millones de paquetes de instalación maliciosos y potencialmente no deseados, de los cuales casi 69.000 se clasificaron como troyanos bancarios.

  • Informe informe detalla cómo está evolucionando el fraude en el intercambio de tarjetas SIM en Oriente Medio, donde los ciberdelincuentes utilizan cada vez más sitios web de phishing, ingeniería social y tácticas híbridas para eludir las medidas de seguridad de las telecomunicaciones.

  • El Citizen Lab ha publicado un informe sobre las operaciones de spyware mercenario de Paragon Solutions, con especial atención a su herramienta estrella, Graphite. Basándose en análisis de infraestructuras, el informe identifica a Australia, Canadá, Chipre, Dinamarca, Israel y Singapur como presuntos clientes gubernamentales del programa espía.

  • Informe informe afirma que 1 de cada 400 dispositivos Android (0,25%) están rooteados, y 1 de cada 2.500 dispositivos iOS (0,04%) tienen jailbreak.

  • En Informe de Kaspersky sobre Ciberamenazas Financieras en 2024 revela que casi 248.000 usuarios se encontraron con malware bancario móvil en 2024, un alarmante aumento de casi 3,6 veces en comparación con 2023. La familia de malware para Android más activa fue Mamont, que representó el 36,7% de todos los ataques de malware bancario móvil. Entre las regiones afectadas, los usuarios de Turquía fueron los más afectados.

  • En el primer trimestre de 2025, Doctor Web informó a un aumento continuado de la actividad de malware móvil, con las amenazas de Android como principal foco de atención. El informe destaca el aumento de la actividad de adware y troyanos bancarios, junto con el descubrimiento de varias docenas de nuevas amenazas en Google Play Store.