Los investigadores de ciberseguridad han marcado un troyano de banca Android previamente indocumentado llamado Datzbro, que les permite realizar ataques de adquisición de dispositivos (DTO), presas de personas mayores y participan en transacciones fraudulentas.
La compañía de seguridad móvil holandesa Dijo que descubrió la campaña en agosto de 2025 después de informar a un estafador que administra grupos de Facebook que promueven «viajes avanzados activos». Otras regiones dirigidas por los actores de amenaza incluyen Singapur, Malasia, Canadá, Sudáfrica y el Reino Unido.
La campaña agregó que se centrará en personas mayores que buscan actividades sociales, viajes, reuniones cara a cara y eventos similares. Se ha encontrado que estos grupos de Facebook comparten contenido generado por inteligencia artificial (IA), que afirman organizar una variedad de actividades dirigidas a personas mayores.
Si un objetivo futuro expresa su disposición a participar en estos eventos, se le acercará a través de Facebook Messenger o WhatsApp y se le pedirá que descargue el archivo APK desde el enlace Illicit («Descargar.SeniorGroupApps (.) Com»).
«Los sitios web falsos afirman que los visitantes pueden alentarlos a instalar las llamadas aplicaciones comunitarias, registrarse para eventos, conectarse con los miembros y rastrear actividades programadas», dijo Amensefabric en un informe que comparten con Hacker News.
Curiosamente, descubrí que el sitio web contiene enlaces de marcadores de posición para descargar aplicaciones iOS. Esto muestra que el atacante está dirigido a ambos sistemas operativos móviles, entregando la aplicación TestFlight para iOS e intentando engañar y descargar la víctima.
Cuando la víctima hace clic en un botón para descargar la aplicación Android, conduce a la implementación directa de malware en el dispositivo, o un gotero construido utilizando un servicio de enlace APK llamado Zombinder omitirá las restricciones de seguridad en Android 13 y superior.
Algunas de las aplicaciones de Android donde se encontró la distribución de DatzBro se enumeran a continuación –
Grupo senior (twzlibwr.rlrkvsdw.bcfwgozi) años animados (mobi.audio.aassistant) Tani Uta Gassen (tvmhnrvsp.zltixkpp.mdok) Mt Manager (varuhphk.vadneozj.tltldo) Mt Manager (spvojpr.bkkhxobj.twfwff) Barley (mnamrdrefa.edldylo.zish) Matish) mana gerente) (io.red.studio.tracker)
El malware, como otros troyanos de Banking Android, tiene una amplia gama de capacidades para grabar audio, capturar fotos, capturar archivos y fotos, y llevar a cabo fraude financiero a través de control remoto, ataques superpuestos y keylogs. También se basa en los servicios de accesibilidad de Android para realizar acciones remotas en nombre de la víctima.
Una característica notable de DatZBro es su modo de control remoto general. Esto permite que el malware envíe información sobre todos los elementos que aparecen en la pantalla, ubicación y contenido, lo que permite al operador finalmente recrear el diseño y dirigir efectivamente el dispositivo.
Los troyanos del banco también actúan como una superposición negra translúcida con texto personalizado para ocultar actividades maliciosas de las víctimas y robar pasadores de pantalla de bloqueo y contraseñas para dispositivos relacionados con Alipay y WeChat. Además, escanea registros de eventos de accesibilidad para texto que contienen nombres de paquetes relacionados con bancos y billeteras de criptomonedas, así como contraseñas, pines u otros códigos.
«Estos filtros ilustran claramente el enfoque del desarrollador detrás de Datzbro, que no solo utiliza capacidades de spyware, sino que también lo convierte en una amenaza financiera», dijo Amenazfabric. «Con la ayuda de la función Keylogging, DatZBro puede capturar con éxito las credenciales de inicio de sesión para aplicaciones de banca móvil ingresadas por víctimas desprevenidas».
Datzbro se considera el trabajo de un grupo de amenazas de habla china, dada la presencia de depuración china y cadenas de registro en el código fuente de malware. Se sabe que las aplicaciones maliciosas están conectadas al backend del comando y el control de la aplicación de escritorio chino (C2), y están separadas de otras familias de malware que dependen de los paneles C2 basados en la web.
Amenazfabric dice que la versión editada de la aplicación C2 se está filtrando a las acciones públicas del virus, lo que sugiere que el malware se ha filtrado y podría distribuirse libremente entre los ciberdelincuentes.
«El descubrimiento de Datzbro destaca la evolución de las amenazas móviles dirigidas a usuarios desprevenidos a través de su campaña de ingeniería social», dijo la compañía. «Al centrarse en las personas mayores, los estafadores aprovechan la confianza y las actividades orientadas a la comunidad para invitar a las víctimas a colocar malware. Lo que comienza como una promoción de eventos aparentemente inofensiva en Facebook puede aumentar a adquisiciones de dispositivos, robo de calificación y fraude financiero».
Las divulgaciones se realizan según lo detallado por IBM X-Force, que puede evitar Android 13 en España, Italia, Francia, EE. UU., Canadá, Emiratos Árabes Unidos e India, y la Campaña Antidot Android Android Banking Banking Campaign, conocida como el nombre en el nombre del código de codificación de la campaña de malware Antidot Android Banking que se dirige a los usuarios de las principales instituciones financieras globalmente, utilizando la aplicación de Dropper Dropper de Google que puede prevenir el acceso al uso de Android 13.
Según un análisis publicado por ProDaft en junio de 2025, Antidot se atribuye a un actor de amenaza de motivación financiera llamada LARVA-398, que está disponible para otros bajo el modelo de Malware (MAAS) en foros subterráneos.
Las últimas campañas están diseñadas para utilizar la API CallScreeningService para monitorear las llamadas entrantes y bloquearlas selectivamente en función de una lista de números de teléfono generados dinámicamente en la configuración de intercambio de teléfonos, lo que permite a los atacantes prolongar el acceso no autorizado, completar transacciones no autorizadas o detección de retrasos.
«PhantomCall permite a los atacantes iniciar trampas enviando el código SSD no dirigido a las llamadas de redirigir. Mientras tanto, abusan de CallScreeningService en Android para bloquear las llamadas entrantes legales, aislar de manera efectiva a las víctimas y permitir la suposición.
«Estas capacidades juegan un papel clave en la coordinación del fraude financiero de alto impacto al bloquear a las víctimas de los canales de comunicación reales y permitir que los atacantes actúen en su nombre sin plantear dudas».
Source link
