Si usas a diario un móvil Android para banca online, redes sociales o criptomonedas, te interesa tomar muy en serio lo que vas a leer. En los últimos meses han aparecido varias familias de malware extremadamente avanzadas —FvncBot, SeedSnatcher y una versión mejorada de ClayRat— que están llevando los ataques móviles a otro nivel, mezclando ingeniería social, control remoto del dispositivo y robo masivo de datos sensibles.
Lejos de aquellos virus que solo metían publicidad molesta, estos troyanos son capaces de tomar el control casi total del teléfono, vaciar monederos cripto, robar credenciales bancarias y espiar a la víctima con una sofisticación comparable (o superior) a muchos ataques de escritorio. Vamos a ver de forma clara, pero detallada, cómo funcionan, qué técnicas tienen en común y qué puedes hacer para no acabar con tu móvil al servicio de los atacantes.
Un panorama de amenazas móviles cada vez más agresivo
El ecosistema Android es gigantesco, con miles de millones de dispositivos que gestionan pagos, autenticaciones 2FA, comunicaciones privadas y acceso a sistemas corporativos. Esa omnipresencia ha convertido a Android en el objetivo favorito de bandas criminales, estafadores financieros y grupos APT con posible respaldo estatal.
Los laboratorios de seguridad como Intel 471, CYFIRMA o Zimperium han documentado una evolución acelerada del malware para Android, donde ya no se apunta solo al usuario doméstico. Cada vez más campañas se centran en empleados de empresa, perfiles con acceso privilegiado o usuarios que manejan grandes cantidades de dinero en banca y criptomonedas.
En este contexto han ganado protagonismo tres familias concretas: FvncBot, SeedSnatcher y ClayRat. Cada una está especializada en un ámbito (banca tradicional, criptoactivos o espionaje persistente), pero comparten un enfoque común: pasar desapercibidas, abusar de funciones legítimas de Android —sobre todo accesibilidad y superposiciones de pantalla— y exfiltrar la máxima información posible mientras mantienen el control del dispositivo.
Los atacantes han perfeccionado el uso de apps dropper ofuscadas, servicios de cifrado como apk0day, canales de mensajería como Telegram y dominios de phishing muy pulidos que imitan a la perfección webs y aplicaciones populares (YouTube, WhatsApp, apps de taxi, monederos cripto, etc.). Para un usuario medio, diferenciar una app legítima de una manipulada es cada vez más complicado.
FvncBot: troyano bancario con control remoto tipo VNC
FvncBot es un troyano bancario y RAT para Android desarrollado desde cero, sin reciclar código filtrado de otros malware como ERMAC. Su principal campaña pública se centra en usuarios de banca móvil de mBank en Polonia, donde se hace pasar por una supuesta aplicación de seguridad oficial asociada al banco.
La aplicación fraudulenta actúa como dropper protegido por un servicio de cifrado/ofuscación llamado apk0day, ofrecido por Golden Crypt. Este servicio empaqueta el código de forma que el análisis estático y la detección por firmas sean mucho más difíciles. Nada más abrir la app, se muestra un aviso para instalar un aparente “componente de Google Play” destinado a mejorar la estabilidad o seguridad del sistema.
En realidad, ese componente es la carga útil de FvncBot. El malware aprovecha un enfoque basado en sesiones para saltarse las restricciones que Android 13 y versiones posteriores imponen al uso de servicios de accesibilidad por parte de apps descargadas fuera de Google Play. De este modo, incluso en versiones recientes del sistema consigue activar los permisos que necesita para ver y controlar casi todo en el dispositivo.
Una vez desplegado, FvncBot solicita al usuario que conceda permisos del servicio de accesibilidad. Si la víctima acepta, el troyano obtiene privilegios muy elevados: puede leer lo que aparece en pantalla, detectar qué aplicaciones se abren, simular toques y gestos, mostrar ventanas por encima de otras apps y registrar pulsaciones en formularios sensibles, como el inicio de sesión bancario o de servicios de pago.
Durante su ejecución, el malware envía eventos de registro a un servidor remoto bajo el dominio naleymilva.it.com. En las muestras analizadas se ha visto un identificador de compilación “call_pl”, que apunta a Polonia como país objetivo, y una versión configurada como “1.0-P”, lo que indica que se trata de una familia todavía en fase temprana de desarrollo y, por tanto, con margen para seguir añadiendo capacidades.
Tras registrar el dispositivo, FvncBot se conecta a su infraestructura de mando y control usando HTTP y el servicio Firebase Cloud Messaging (FCM). A través de estos canales recibe órdenes en tiempo real y puede modificar su comportamiento al vuelo, activando o desactivando módulos según el tipo de víctima o la campaña concreta.
Entre las capacidades que se han documentado destacan:
- Capacidad para iniciar o detener conexiones WebSocket que permiten el control remoto del dispositivo, deslizando, pulsando, haciendo scroll o abriendo aplicaciones como si el atacante tuviera el móvil en la mano.
- Exfiltración de eventos de accesibilidad, listado de apps instaladas e información del dispositivo (modelo, versión de Android, configuración del bot, etc.).
- Recepción de configuraciones específicas para desplegar superposiciones maliciosas a pantalla completa sobre apps seleccionadas, generalmente aplicaciones bancarias o de pago.
- Ocultación de esas superposiciones en el momento oportuno para que la víctima apenas perciba comportamiento extraño.
- Abuso de los servicios de accesibilidad para registrar pulsaciones de teclas y datos introducidos en formularios críticos.
- Uso de la API MediaProjection para retransmitir en tiempo real el contenido de la pantalla, lo que permite a los atacantes ver exactamente lo que hace el usuario, incluso en apps que bloquean capturas con la flag FLAG_SECURE.
Además, FvncBot dispone de un “modo texto” que le permite analizar el diseño y el contenido visible de la interfaz incluso cuando no se pueden hacer capturas convencionales. Así, puede inspeccionar campos de entrada, botones y mensajes de seguridad en aplicaciones especialmente protegidas.
Por ahora no hay confirmación pública sobre su método principal de distribución, pero, por similitud con otras familias de troyanos bancarios, es muy probable que se apoye en campañas de smishing (SMS de phishing), enlaces enviados por mensajería instantánea y tiendas de aplicaciones de terceros donde se suben clones maliciosos de apps conocidas o falsas herramientas de seguridad.
Aunque la configuración actual está orientada al usuario polaco de mBank, el diseño modular de FvncBot facilita que los atacantes adapten idioma, logotipos, plantillas de superposición e incluso entidades bancarias objetivo sin esfuerzo. No sería raro verlo mutar hacia campañas en otros países o contra bancos distintos en poco tiempo.
SeedSnatcher: robador de frases semilla y códigos 2FA
Si FvncBot centra su atención en la banca tradicional, SeedSnatcher apunta directamente al ecosistema cripto. Se trata de un infostealer para Android diseñado para robar frases semilla de monederos, claves privadas y cualquier información que permita tomar el control de carteras de criptomonedas, además de otros datos sensibles del dispositivo.
SeedSnatcher se distribuye principalmente a través de Telegram y otros canales sociales, camuflado bajo el nombre “Coin” u otras denominaciones que sugieren herramientas de inversión, apps de gestión de criptomonedas o accesos a promociones exclusivas. Los atacantes difunden enlaces a APK supuestamente legítimos en grupos públicos y privados relacionados con trading, NFTs o noticias de blockchain.
La aplicación maliciosa está diseñada para no levantar sospechas de entrada: suele pedir muy pocos permisos al instalarse, en especial acceso a SMS u opciones aparentemente inofensivas. Este enfoque ayuda a esquivar soluciones de seguridad que alertan ante peticiones masivas de permisos desde el primer arranque.
Sin embargo, en segundo plano, SeedSnatcher comienza a desplegar su arsenal. Sus desarrolladores han incorporado técnicas como carga dinámica de clases y una inyección sigilosa de contenido en WebView, lo que permite que la app descargue módulos adicionales desde el servidor de mando y control, se modifique sobre la marcha y active funciones solo cuando detecta que la víctima abre ciertas aplicaciones relacionadas con criptomonedas.
Una de sus capacidades más peligrosas es la generación de superposiciones de phishing extremadamente convincentes que imitan la apariencia de monederos cripto conocidos, exchanges o pantallas de recuperación de cuentas. El usuario cree que está restaurando su cartera o validando su identidad, pero en realidad está entregando su frase semilla o su clave privada a los atacantes.
Además de las semillas de recuperación, SeedSnatcher puede interceptar SMS entrantes para capturar códigos de autenticación de dos factores (2FA), lo que facilita el secuestro de cuentas en servicios de intercambio, plataformas de trading o incluso otros servicios que sigan usando SMS como segundo factor.
El malware también está preparado para exfiltrar amplia información del dispositivo: contactos, registros de llamadas, ficheros locales y otros datos de interés que pueden reutilizarse en futuras campañas de fraude, extorsión o venta en foros clandestinos.
Investigaciones atribuidas a CYFIRMA señalan que los operadores de SeedSnatcher serían grupos con base en China o de habla china, basándose en instrucciones y documentación en ese idioma presentes tanto en el panel de control del stealer como en los mensajes compartidos a través de Telegram.
El patrón de escalada de privilegios de SeedSnatcher es muy calculado: empieza con permisos mínimos para pasar desapercibido y, más adelante, solicita autorización para acceder al gestor de archivos, mostrar superposiciones, leer contactos, consultar registros de llamadas y otros recursos críticos. Cada petición se camufla como si fuera necesaria para una función legítima, reduciendo la probabilidad de que el usuario desconfíe.
La combinación de engaño visual, robo de SMS, posible monitorización de portapapeles y exfiltración silenciosa de datos convierte a SeedSnatcher en una amenaza crítica para cualquiera que gestione criptomonedas desde el móvil, especialmente monederos sin custodia basados en frases semilla que, una vez comprometidas, permiten al atacante vaciar los fondos sin posibilidad de recuperación.
ClayRat: spyware modular y control casi total del dispositivo
ClayRat es un spyware modular para Android que ha evolucionado rápidamente hasta convertirse en una de las herramientas de vigilancia móvil más peligrosas del panorama actual. Nació orientado a determinados mercados (especialmente usuarios rusos), pero las variantes recientes demuestran un salto cualitativo en capacidades, persistencia y alcance geográfico.
Su distribución se basa en una mezcla de campañas en Telegram y páginas web de phishing cuidadosamente diseñadas que suplantan servicios conocidos. Estas webs promocionan aplicaciones muy populares —como WhatsApp, Google Fotos, TikTok o YouTube— y exhiben reseñas falsas, valoraciones positivas y cifras de descargas infladas para reforzar la sensación de legitimidad.
Lo que descarga realmente el usuario no suele ser el spyware en sí, sino un dropper ligero que contiene el malware oculto y cifrado. Este dropper puede mostrarse como una simple app de vídeo, un supuesto cliente mejorado o una herramienta útil. Una vez instalado, descifra y libera la carga maliciosa evitando algunos controles de seguridad del sistema.
Las investigaciones de Zimperium zLabs y otros equipos han revelado que ClayRat abusa por partida doble de los servicios de accesibilidad y de los permisos SMS por defecto. Al convertirse en app de SMS predeterminada, puede leer, escribir y enviar mensajes sin conocimiento del usuario, interceptando códigos 2FA, manipulando conversaciones y usándolos como vector para expandir la infección.
Las versiones más recientes incorporan un amplio repertorio de funciones avanzadas:
- Registro de teclas, capturas y grabación completa de la pantalla, lo que permite reconstruir prácticamente todo lo que hace la víctima.
- Acceso a llamadas, notificaciones, historial, fotos de la cámara frontal y otros datos privados, con posibilidad de subirlos al servidor de mando y control.
- Capacidad para tomar imágenes con la cámara frontal y exfiltrarlas silenciosamente, algo especialmente invasivo al apuntar directamente al rostro de la víctima.
- Despliegue de superposiciones que simulan actualizaciones del sistema, pantallas negras o mensajes de mantenimiento, utilizadas para tapar actividades maliciosas mientras los atacantes manejan el dispositivo en segundo plano.
- Generación de notificaciones interactivas falsas que aparentan provenir del sistema o de apps legítimas y que sirven para recolectar respuestas, códigos y pulsaciones.
Un aspecto especialmente inquietante es la capacidad de ClayRat para desbloquear automáticamente el dispositivo aunque use PIN, contraseña o patrón. Mediante la combinación de accesibilidad, reconocimiento del layout de la pantalla y automatización de gestos, el malware consigue sortear la pantalla de bloqueo y operar el móvil sin necesidad de que el usuario interactúe.
Además de espiar, ClayRat convierte cada equipo infectado en un nodo de distribución automatizado. Puede enviar SMS con enlaces maliciosos a los contactos almacenados en el teléfono, aprovechando la confianza que se tiene en mensajes recibidos desde un número conocido. Esto facilita una propagación rápida y de amplio alcance sin que los atacantes necesiten una gran infraestructura adicional.
Se ha constatado el uso de al menos 25 dominios de phishing que imitan servicios legítimos como YouTube, ofreciendo una supuesta versión “Pro” con reproducción en segundo plano y soporte 4K HDR. También se han detectado apps dropper que se hacen pasar por aplicaciones rusas de taxi y aparcamiento, replicando nombres, iconos y descripciones para engañar a los usuarios locales.
La expansión de las capacidades de ClayRat —desde la simple exfiltración de datos hasta la toma de control total del dispositivo con superposiciones persistentes y desbloqueo automatizado— hace que esta última variante sea aún más peligrosa que las anteriores, en las que al menos existía cierta posibilidad de que la víctima detectase actividad rara, desinstalara la app o apagara el móvil a tiempo.
Técnicas comunes: accesibilidad, superposiciones y evasión avanzada
Aunque FvncBot, SeedSnatcher y ClayRat persigan objetivos algo diferentes, se apoyan en un conjunto de tácticas y técnicas compartidas que explican por qué están teniendo tanto éxito en las campañas reales.
En primer lugar, destaca el abuso sistemático de los servicios de accesibilidad de Android. Esta funcionalidad se diseñó para ayudar a usuarios con discapacidad a interactuar con el dispositivo, pero, mal utilizada, da a los atacantes la capacidad de leer lo que aparece en pantalla, detectar cambios en la interfaz, automatizar gestos y, en la práctica, controlar el móvil casi como si fuera suyo.
El segundo pilar son las superposiciones (overlays) que suplantan interfaces legítimas a pantalla completa o parcial. Colocando una capa falsa encima de una app real —ya sea el banco, un monedero cripto o un servicio popular— los atacantes capturan credenciales, datos personales, números de tarjeta o frases semilla sin tener que vulnerar la aplicación original. El usuario cree que está interactuando con la app de siempre, pero en realidad está escribiendo en una pantalla controlada por el malware.
En tercer lugar, estas familias recurren a técnicas de evasión muy trabajadas: ofuscación y cifrado de código mediante servicios como apk0day, carga dinámica de clases que solo se descargan cuando son necesarias, inyección silenciosa de contenido en WebView y uso de instrucciones de comando basadas en enteros para que el tráfico parezca menos evidente a ojos de los sistemas de monitorización.
La comunicación con los servidores de mando y control también se ha sofisticado. Muchos de estos troyanos emplean Firebase Cloud Messaging para recibir órdenes, conexiones WebSocket para control en tiempo real y exfiltración de datos vía HTTP o HTTPS, mezclando su tráfico malicioso con el legítimo de otras apps, lo que complica su detección en redes corporativas y domésticas.
Todo lo anterior se complementa con un trabajo de ingeniería social muy cuidado. Los atacantes crean apps que se hacen pasar por componentes de Google Play, herramientas de seguridad, aplicaciones bancarias oficiales, versiones “Pro” de plataformas muy conocidas o servicios muy demandados como taxis, aparcamientos y wallets. El objetivo es bajar la guardia del usuario para que acepte instalaciones y permisos críticos casi sin leer.
¿Cómo pueden infectar tu Android y señales de posible compromiso?
A pesar de toda la tecnología que tienen detrás, el punto de partida suele ser siempre el mismo: convencer al usuario para que instale manualmente una APK o conceda permisos peligrosos. Para ello, se apoyan en mensajes de smishing, campañas en redes sociales, foros, grupos de Telegram o páginas que prometen ventajas irresistibles (apps de pago gratis, versiones sin anuncios, oportunidades de inversión, etc.).
Una vez la víctima se deja llevar por la promesa, descarga la APK desde una fuente no oficial, pulsa “Instalar” y después acepta permisos de accesibilidad, acceso a SMS, superposiciones y rol de app predeterminada para ciertos servicios (como los mensajes). A partir de ahí, buena parte del control pasa a manos del malware, que intentará actuar de forma silenciosa para no levantar sospechas.
Aun así, hay una serie de indicadores de compromiso que conviene vigilar:
- Consumo anormal de batería y calentamiento del móvil sin un uso intenso evidente.
- Aumento importante del tráfico de datos móviles o Wi‑Fi sin explicación clara.
- Aparición de apps que no recuerdas haber instalado o cambios en las apps de SMS, banca o mensajería por defecto.
- Cierres inesperados, cuelgues o comportamiento extraño en apps clave como banca, wallets, redes sociales o mensajería.
- Cuadros de diálogo de permisos raros, especialmente relacionados con accesibilidad, SMS o administración del dispositivo.
- Alertas de inicios de sesión sospechosos o cambios de ubicación inusuales en tus cuentas en la nube, servicios cripto o banca online.
Si detectas varios de estos síntomas, lo prudente es realizar un escaneo completo con una solución de seguridad móvil de confianza, revisar manualmente la lista de aplicaciones instaladas (incluyendo las que tienen iconos genéricos o nombres extraños) y, si la situación es grave, plantearse un restablecimiento de fábrica tras hacer copia de seguridad solo de lo imprescindible.
Buenas prácticas para proteger tu móvil de FvncBot, SeedSnatcher y ClayRat
La mejor defensa frente a estas amenazas combina tecnología y sentido común. A nivel usuario, hay una serie de pautas básicas de higiene digital que reducen drásticamente las probabilidades de acabar infectado por FvncBot, SeedSnatcher, ClayRat o similares.
La regla de oro es clara: instalar aplicaciones únicamente desde Google Play o webs oficiales de proveedores. Descargar APK desde enlaces recibidos por SMS, correo, redes sociales, canales de Telegram o páginas de descargas “milagrosas” es, a día de hoy, una de las principales puertas de entrada del malware móvil.
También es clave tomarse unos segundos para revisar los permisos que solicita cada app antes de aceptarlos. Si una aplicación que supuestamente sirve para ver vídeos, escuchar música o consultar el tiempo pide acceso completo a SMS, servicios de accesibilidad, contactos o administración del dispositivo, toca desconfiar. Muchos ataques se apoyan en que el usuario pulsa “Aceptar” sin leer absolutamente nada.
Otra capa fundamental es mantener Android, las apps y las soluciones de seguridad siempre actualizados. Los fabricantes y Google lanzan parches con frecuencia para cerrar vulnerabilidades que estos troyanos intentan explotar. Activar las actualizaciones automáticas y revisarlas de vez en cuando es una inversión mínima de tiempo con un retorno enorme en seguridad.
En lo relativo a cuentas y credenciales, conviene utilizar contraseñas robustas y diferentes para cada servicio, almacenar esas claves en un gestor de contraseñas fiable y activar siempre que se pueda la autenticación en dos pasos. Eso sí, es preferible optar por métodos de 2FA basados en apps de autenticación o llaves físicas en lugar de SMS, precisamente porque muchos malware móviles están especializados en interceptar mensajes.
Para quienes gestionan cantidades relevantes de criptomonedas, lo prudente es que las frases semilla y claves privadas no se generen ni almacenen en un Android de uso general. Utilizar hardware wallets o dispositivos dedicados minimiza el impacto de un infostealer como SeedSnatcher en el móvil principal.
En entornos corporativos, las organizaciones deberían apoyarse en soluciones de gestión de dispositivos móviles (MDM) para controlar qué apps pueden instalarse, aplicar políticas de cifrado, separar el perfil laboral del personal y monitorizar indicadores de compromiso. La formación continua de los empleados frente a phishing móvil, enlaces sospechosos y pantallas de permisos anómalas es tan importante como cualquier solución técnica.
El auge de FvncBot, SeedSnatcher y la nueva ClayRat demuestra que el frente principal del cibercrimen se ha desplazado con fuerza hacia el móvil. Entender cómo funcionan, qué permisos abusan y por qué sus campañas son tan convincentes ayuda a tomar conciencia de que el smartphone ya no es un “juguete” relativamente seguro, sino el eslabón más valioso de nuestra vida digital.
Adoptar hábitos sencillos —apps solo de fuentes fiables, desconfianza ante enlaces y permisos, sistema al día y seguridad móvil activa— marca la diferencia entre seguir usando el móvil con tranquilidad o verlo convertido en una herramienta al servicio de los atacantes. Comparte la información para que más personas conozcan sobre los diferentes Android malware que existen.
Continúar leyendo...