Si usas a diario tu móvil Android para banca online, redes sociales, trabajo o criptomonedas, te interesa conocer a fondo qué está pasando con el malware móvil de nueva generación. En los últimos meses se han detectado tres familias especialmente peligrosas, FvncBot, SeedSnatcher y ClayRat, que llevan los ataques a un nivel muy superior a los típicos virus que solo muestran publicidad o ralentizan el teléfono.
Lejos de ser simples apps molestas, estas amenazas combinan ingeniería social muy trabajada, abuso de los servicios de accesibilidad, superposiciones de pantalla y control remoto para espiar al usuario, robar dinero de bancos y wallets cripto, interceptar SMS con códigos 2FA e incluso desbloquear el dispositivo automáticamente mientras parece estar “apagado” o en una supuesta actualización del sistema.
Un panorama de malware Android cada vez más agresivo
El ecosistema Android mueve hoy miles de millones de dispositivos que concentran pagos, 2FA, comunicaciones privadas y acceso a servicios corporativos. Esta omnipresencia ha convertido a la plataforma en el objetivo favorito tanto de bandas de ciberdelincuentes con motivación económica como de actores avanzados (APT) con posible respaldo estatal.
Las investigaciones de firmas como Intel 471, CYFIRMA y Zimperium han desvelado campañas donde los atacantes combinan droppers ofuscados, webs de phishing casi perfectas y distribución vía Telegram para colar APK maliciosas. A partir de ahí, el truco está en lograr que el usuario conceda permisos críticos: accesibilidad, lectura y envío de SMS, superposición de pantalla o incluso convertirse en app de mensajería por defecto.
Estas nuevas familias de malware aprovechan funcionalidades legítimas del sistema como el Servicio de Accesibilidad, la API MediaProjection o el sistema de overlays para convertir el móvil en una herramienta de espionaje y fraude muy difícil de detectar. A menudo, la víctima solo nota algún parpadeo raro en la pantalla, un mayor consumo de batería o datos y poco más. Para contrarrestar esto, Google está desarrollando funciones avanzadas de detección en tiempo real que buscan mitigar estas técnicas.
Dentro de este panorama destacan tres nombres que se repiten en los informes técnicos más recientes: FvncBot, centrado en banca; SeedSnatcher, especializado en robar frases semilla y claves de wallets; y ClayRat, un spyware modular con vocación de control total del dispositivo. Sus enfoques son diferentes, pero comparten la misma idea: permanecer el máximo tiempo posible en el terminal sin levantar sospechas.
FvncBot: troyano bancario con control remoto tipo VNC
FvncBot es un troyano de acceso remoto (RAT) y malware bancario para Android desarrollado desde cero, sin reciclar código de otros troyanos populares como ERMAC. Lo que lo hace especialmente peligroso es que mezcla capacidades de infostealer, superposición de pantalla y control remoto basado en VNC (HVNC) para ejecutar fraudes financieros en tiempo real, en línea con otras campañas de troyanos bancarios recientes.
Su campaña más conocida se dirige a clientes de banca móvil de mBank en Polonia. Para engañarles, se hace pasar por una supuesta aplicación de seguridad del propio banco. Esta app fraudulenta actúa como dropper y está protegida por un servicio de ofuscación y cifrado llamado apk0day (ofrecido por Golden Crypt), que complica el análisis estático y la detección por parte de soluciones de seguridad.
Cuando el usuario abre la aplicación falsa, se encuentra con un mensaje que le invita a instalar un “componente de Google Play” que promete más estabilidad o seguridad. Ese componente no es otra cosa que la carga útil de FvncBot, que se instala usando un mecanismo basado en sesiones pensado para esquivar las restricciones de accesibilidad introducidas a partir de Android 13.
Una vez desplegado, el malware solicita al usuario activar los servicios de accesibilidad. Si la víctima acepta, FvncBot obtiene una especie de “superpoderes”: puede leer todo lo que aparece en pantalla, saber qué apps se abren, simular toques y deslizamientos, cubrir otras aplicaciones con pantallas falsas y registrar lo que se escribe en formularios sensibles, como el login del banco. Este abuso del Servicio de Accesibilidad es una constante en las campañas modernas.
Durante la ejecución, los eventos de registro y telemetría se envían a un servidor remoto asociado al dominio naleymilva.it.com. En las muestras analizadas se han visto referencias como el identificador de compilación call_pl (que apunta a Polonia como país objetivo) y una versión 1.0-P, lo que encaja con un malware todavía en fase temprana pero en rápida evolución.
Tras registrar el dispositivo, FvncBot se comunica con su infraestructura de mando y control a través de HTTP y Firebase Cloud Messaging (FCM). De este modo, los operadores pueden enviar órdenes en tiempo real, activar o desactivar módulos y adaptar el comportamiento del troyano según la víctima o la campaña en curso.
Entre sus funciones documentadas se incluyen capacidades muy avanzadas de control remoto y espionaje, como iniciar y detener conexiones WebSocket para manejar el dispositivo a distancia, exfiltrar eventos de accesibilidad, listar las apps instaladas y enviar al servidor datos detallados de configuración del terminal.
Además, el troyano está preparado para mostrar superposiciones de pantalla completas que imitan interfaces de banca u otros servicios, con el objetivo de capturar credenciales, tarjetas o códigos de un solo uso. Una vez robados, puede retirar la overlay sin que el usuario apenas perciba nada salvo, quizá, un leve parpadeo.
Uno de los rasgos más llamativos es el uso intensivo de la API MediaProjection para retransmitir en tiempo real lo que ocurre en la pantalla. Combinado con el control remoto tipo HVNC, los atacantes pueden operar la app del banco casi como si tuvieran el móvil físico, incluso en aplicaciones que bloquean las capturas mediante la opción FLAG_SECURE. Esta técnica ya se ha visto aplicada en otros casos de robo de datos bancarios.
Para saltarse esa protección, FvncBot incorpora un “modo texto” que inspecciona el diseño y los elementos de la interfaz aunque no se pueda hacer una captura visual tradicional. Así, incluso si la app de banca impide screenshots, el malware puede leer los campos y botones gracias al Servicio de Accesibilidad.
Por ahora no se ha publicado un vector de distribución definitivo, pero por paralelismos con otros troyanos bancarios de Android es muy probable que recurra a campañas de smishing (SMS de phishing), mensajes de mensajería instantánea con enlaces a APK y tiendas de terceros con apps bancarias falsas o herramientas de seguridad manipuladas. Aunque la configuración actual está en polaco, adaptar textos, logos y plantillas para otros países y bancos es relativamente trivial.
SeedSnatcher: cazador de frases semilla y claves privadas de criptomonedas
Mientras FvncBot se centra en la banca tradicional, SeedSnatcher está diseñado específicamente para robar frases semilla, claves privadas y datos sensibles de monederos de criptomonedas. Es, en esencia, un infostealer móvil muy orientado al ecosistema cripto y a todo lo que lo rodea.
Este malware se distribuye principalmente a través de Telegram y redes sociales, bajo nombres como “Coin” y variantes relacionadas con inversión o wallets. Los operadores crean canales y grupos que simulan comunidades de trading, proyectos NFT o herramientas de gestión de carteras, desde los que comparten enlaces a APK supuestamente legítimas; este patrón de distribución es similar al detectado en otras alertas como campañas de apps falsas y canales de Telegram.
Una característica clave es que la app maliciosa, al instalarse, intenta pasar desapercibida pidiendo pocos permisos de entrada (por ejemplo, acceso a SMS o funciones básicas), lo justo para no encender las alarmas del usuario ni de algunas soluciones de seguridad basadas en patrones de permisos excesivos desde el primer arranque.
Sin hacer ruido, SeedSnatcher despliega en segundo plano un arsenal técnico notable. Aprovecha carga dinámica de clases, inyección encubierta de contenido en componentes WebView e instrucciones de comando basadas en enteros, lo que dificulta mucho el análisis del código y la detección mediante firmas estáticas.
Cuando detecta que la víctima usa apps de wallets o exchanges, el malware muestra superposiciones de phishing muy creíbles que copian la apariencia de interfaces legítimas de monederos, pantallas de recuperación o procesos de verificación. El usuario cree que está restaurando la cartera o validando su identidad, pero en realidad está escribiendo su frase semilla en un formulario controlado por los atacantes.
Además de las frases semilla, SeedSnatcher intercepta de forma silenciosa mensajes SMS entrantes para capturar códigos de autenticación en dos factores (2FA), lo que facilita el secuestro de cuentas en exchanges y otros servicios que siguen usando el SMS como segundo factor de seguridad. Este tipo de robo de mensajes recuerda a técnicas observadas en troyanos que atacan comunicaciones y cuentas en mensajería y SMS.
El malware tampoco desaprovecha la oportunidad de exfiltrar información adicional del dispositivo: contactos, historial de llamadas, ficheros, metadatos y otra información que pueda revenderse o servir para nuevos fraudes. Todo ello se envía a su servidor de mando y control con mecanismos de comunicación ofuscados.
Las investigaciones atribuidas a CYFIRMA apuntan a que los operadores de SeedSnatcher serían actores con base en China o de habla china, a raíz de instrucciones encontradas en ese idioma tanto en paneles de control como en mensajes compartidos por Telegram relacionados con el malware.
En cuanto a su escalada de privilegios, SeedSnatcher sigue una estrategia por fases: empieza con permisos mínimos y, una vez ganada cierta confianza, solicita acceso al gestor de archivos, overlays, contactos, registros de llamadas y otros recursos sensibles. Este comportamiento paulatino reduce las probabilidades de que el usuario desconfíe al ver una avalancha de peticiones desde el primer uso.
La mezcla de overlays realistas, robo de SMS 2FA, vigilancia del portapapeles y exfiltración silenciosa de datos convierte a SeedSnatcher en una amenaza crítica para cualquiera que gestione criptomonedas desde el móvil, especialmente si utiliza wallets no custodiales basados en frases semilla que, una vez filtradas, dejan los fondos totalmente expuestos.
ClayRat: spyware modular con control casi absoluto del dispositivo
ClayRat representa la cara más orientada al espionaje de largo recorrido y al control persistente del dispositivo. Se trata de un spyware modular para Android que ha ido ampliando funciones versión tras versión, hasta convertirse en una plataforma muy completa para vigilar a las víctimas y usar sus teléfonos como nodos de distribución.
Las últimas investigaciones de Zimperium y otros laboratorios de seguridad muestran que ClayRat se apoya en campañas masivas de phishing y suplantación de apps populares como WhatsApp, TikTok, YouTube, Google Fotos o servicios de taxi y aparcamiento. Los atacantes crean páginas que imitan a la perfección la Google Play Store o las webs oficiales de estas aplicaciones, incluyendo reseñas falsas, contadores de descargas inflados y comentarios positivos generados automáticamente.
Cuando la víctima descarga la supuesta app, en realidad obtiene un dropper ligero que contiene el spyware cifrado. Este dropper puede mostrar pantallas imitando actualizaciones de Google Play o procesos de instalación oficiales, mientras en segundo plano despliega la carga maliciosa esquivando parte de los mecanismos de protección de Android. Este uso de droppers recuerda a técnicas descritas en análisis sobre loaders y droppers.
ClayRat solicita permisos críticos como acceso a SMS, contactos, cámara, micrófono y Servicio de Accesibilidad. Una vez que el usuario accede, es capaz de convertirse en la aplicación de mensajes predeterminada, lo que le permite leer, modificar y enviar SMS sin que otras apps o el propio usuario lo perciban claramente.
El spyware puede revisar el historial de llamadas, capturar notificaciones, tomar fotos con la cámara frontal, exfiltrar SMS y realizar llamadas. Desde Zimperium destacan que, al tener acceso también a la agenda, el malware puede lanzar campañas de ingeniería social directamente desde el teléfono infectado, enviando SMS con enlaces a más víctimas que, al confiar en el remitente conocido, bajan la guardia.
En versiones recientes, ClayRat ha incorporado un conjunto de comandos recibidos desde su servidor C2 que van desde listados de apps instaladas (get_apps_list), recopilación de registros de llamadas (get_calls) o toma de fotografías (get_camera), hasta funciones para robar SMS a gran escala (get_sms_list, messms), enviar mensajes o realizar llamadas (send_sms, make_call) y obtener información detallada del dispositivo o su red (get_device_info, get_proxy_data).
La comunicación con la infraestructura de los atacantes se realiza mediante cifrado AES-GCM y uso de túneles WebSocket para camuflar el tráfico HTTP/HTTPS. Además, los datos se envían a trozos para dificultar la detección por sistemas de monitorización de red.
Una de las capacidades más preocupantes es el desbloqueo automático del dispositivo, tanto si usa PIN, patrón o contraseña. Aprovechando el Servicio de Accesibilidad y la automatización de gestos, ClayRat puede desbloquear la pantalla cuando lo necesita, grabar lo que sucede, manipular apps y volver a dejar el móvil aparentemente inactivo, sin que el usuario tenga que introducir sus credenciales cada vez.
El malware también despliega superposiciones que simulan pantallas de actualización del sistema, pantallas negras o ventanas de mantenimiento, que se utilizan para ocultar la actividad maliciosa mientras los atacantes interactúan con el dispositivo. Durante ese tiempo el usuario tiende a no tocar nada, convencido de que está en medio de una actualización legítima.
Zimperium ha identificado al menos 25 dominios de phishing que se hacen pasar por servicios como una supuesta “YouTube Pro” con reproducción en segundo plano y 4K HDR, junto a apps falsas de taxis y aparcamientos, especialmente en regiones como Rusia. En total, se han catalogado centenares de muestras de malware y decenas de droppers diferentes asociados a esta campaña, lo que la convierte en una de las más activas a nivel global.
La combinación de abuso de accesibilidad, permisos SMS por defecto, grabación de pantalla, notificaciones falsas e overlays persistentes hace que la versión actual de ClayRat sea mucho más difícil de eliminar que las anteriores, en las que el usuario todavía tenía margen para desinstalar la app sospechosa o apagar el dispositivo al detectar algo raro.
Tácticas comunes: accesibilidad, overlays y evasión avanzada
Pese a que FvncBot, SeedSnatcher y ClayRat tienen objetivos distintos, comparten un conjunto de técnicas y tácticas que se están volviendo estándar en el malware moderno para Android. Entenderlas es clave para saber por qué estos ataques están funcionando tan bien.
El pilar central es el abuso sistemático del Servicio de Accesibilidad de Android, ideado originalmente para ayudar a personas con discapacidad. Este servicio permite leer el contenido de la pantalla, detectar cambios en la interfaz y automatizar acciones como toques o desplazamientos. Bien usado, mejora la usabilidad; mal usado, ofrece a los atacantes visibilidad casi total de lo que hace el usuario.
El segundo elemento común es el uso intensivo de superposiciones (overlays) que se sitúan por encima de otras apps. Gracias a ellas, el malware puede mostrar formularios de login falsos, pantallas de actualización o avisos del sistema mientras debajo se ejecuta la aplicación real. La víctima introduce sus credenciales creyendo que está en su app de banca, wallet o servicio favorito, cuando en realidad escribe en una interfaz controlada por el atacante.
A esto se suman técnicas de evasión avanzadas: ofuscación de código mediante servicios como apk0day, carga dinámica de componentes desde el servidor C2, cifrado del tráfico y uso de instrucciones de comando compactas que hacen que el comportamiento del malware sea menos obvio en un análisis superficial.
En el plano de la comunicación, estos troyanos se apoyan en Firebase Cloud Messaging, conexiones WebSocket y canales HTTP/HTTPS cifrados que se mezclan fácilmente con el tráfico normal del dispositivo. Esto complica mucho distinguir, a nivel de red, qué peticiones son legítimas y cuáles forman parte de la exfiltración de datos o la recepción de órdenes.
Finalmente, el elemento humano: todas estas campañas se basan en ingeniería social muy cuidada, con apps que se hacen pasar por componentes de Google Play, herramientas de seguridad, versiones “Pro” de plataformas populares o aplicaciones de servicios cotidianos como parking y taxis. El objetivo es el mismo: conseguir que el usuario instale manualmente la APK y pulse “Aceptar” en permisos que, mirados con calma, serían sospechosos.
Cómo proteger tu Android frente a FvncBot, SeedSnatcher y ClayRat
No existe una protección perfecta, pero aplicar unas cuantas buenas prácticas básicas reduce de forma drástica las probabilidades de acabar con el móvil comprometido por estas familias de malware o por otras similares que vayan apareciendo.
La primera norma, por obvia que parezca, sigue siendo fundamental: instalar aplicaciones solo desde Google Play o webs oficiales de los proveedores. Descargar APK desde foros, canales de Telegram, enlaces de SMS o páginas que prometen versiones gratuitas de apps de pago es, a día de hoy, una de las principales vías de entrada del malware móvil.
También es crucial mantener tanto el sistema operativo como las aplicaciones siempre actualizados. Los parches de seguridad corrigen vulnerabilidades que muchos troyanos aprovechan, y que se podrían evitar simplemente activando las actualizaciones automáticas o revisando con cierta frecuencia si hay nuevas versiones; de hecho, Google publica avisos sobre vulnerabilidades críticas que conviene tener en cuenta.
Otro punto clave es la gestión de permisos. Antes de aceptar alegremente, conviene preguntarse si tiene sentido que una app concreta pida acceso a SMS, accesibilidad, contactos, registros de llamada o administración del dispositivo. Una aplicación para ver el tiempo o reproducir vídeos no debería necesitar esos privilegios, y si los exige, lo prudente es cancelar la instalación.
En cuanto a la autenticación, ayuda mucho usar contraseñas fuertes y únicas para cada servicio, además de activar el doble factor (2FA) siempre que esté disponible. Aunque algunos malware intenten interceptar códigos enviados por SMS, seguirás poniendo una barrera más a los atacantes y complicando el robo masivo de cuentas.
Siempre que sea posible, merece la pena sustituir el SMS por métodos de 2FA más robustos, como apps de autenticación o llaves físicas de seguridad. Estos mecanismos son menos vulnerables a infostealers como SeedSnatcher, que se apoyan precisamente en la lectura silenciosa de mensajes de texto.
Para usuarios intensivos o de mayor riesgo, tiene sentido complementar estas pautas con soluciones específicas de seguridad móvil capaces de detectar comportamientos anómalos, abusos de accesibilidad, conexiones sospechosas o APK ofuscadas. No son una varita mágica, pero añaden una capa adicional de defensa que, en muchos casos, puede marcar la diferencia; revisa cómo funciona Google Play Protect como primera línea de defensa.
En entornos corporativos, las organizaciones deberían implantar políticas de gestión de dispositivos móviles (MDM) y estrategias claras de BYOD. Limitar la instalación de apps no autorizadas, separar el perfil personal del corporativo, exigir cifrado completo del dispositivo y monitorizar indicadores de compromiso son pasos básicos para evitar que un móvil empleado como herramienta de trabajo se convierta en la puerta de entrada a la red interna.
Más allá de las herramientas, la formación es crítica: enseñar a empleados y usuarios a identificar webs falsas, enlaces de descarga dudosos, pantallas de permisos sospechosas y técnicas de phishing por SMS o mensajería reduce de manera muy notable la eficacia de las campañas de malware móvil.
La aparición y rápida evolución de FvncBot, SeedSnatcher y ClayRat muestra con claridad que el foco del cibercrimen se ha desplazado al móvil, donde ahora se concentra gran parte de nuestra vida financiera y personal. Asumir que el teléfono es un objetivo prioritario, revisar qué instalamos, qué permisos concedemos y cómo gestionamos cuentas bancarias y cripto desde él es ya una pieza imprescindible de la seguridad diaria, tanto a nivel individual como en empresas. Comparte esta información y ayuda a otros usuarios a estar alerta con Android Malware.