Los investigadores de ciberseguridad han marcado un troyano de banca Android previamente indocumentado llamado Datzbro que puede realizar la adquisición del dispositivo (DTO) ataques y realizan transacciones fraudulentas al aprovecharse de los ancianos.
La compañía de seguridad móvil holandesa, Denacefabric, dijo que descubrió la campaña en agosto de 2025 después de que los usuarios de Australia informaron que los estafadores administraban grupos de Facebook que promueven «viajes senior activos». Algunos de los otros territorios dirigidos por los actores de amenaza incluyen Singapur, Malasia, Canadá, Sudáfrica y el Reino Unido
Las campañas, agregó, se centraron específicamente en personas mayores que buscan actividades sociales, viajes, reuniones en persona y eventos similares. Se ha encontrado que estos grupos de Facebook comparten contenido generado por inteligencia artificial (AI), que afirman organizar varias actividades para las personas mayores.
Si los posibles objetivos expresan su disposición a participar en estos eventos, posteriormente se abordan a través de Facebook Messenger o WhatsApp, donde se les pide que descarguen un archivo APK desde un enlace fraudulento (por ejemplo, «Descargar.SeniorgroupApps[.]com «).
«Los sitios web falsos llevaron a los visitantes a instalar una llamada aplicación comunitaria, alegando que les permitiría registrarse para eventos, conectarse con los miembros y rastrear las actividades programadas», «Amenazfabric dicho En un informe compartido con The Hacker News.
Curiosamente, también se ha descubierto que los sitios web contienen enlaces de marcadores de posición para descargar una aplicación iOS, lo que indica que los atacantes buscan dirigirse a los sistemas operativos móviles, distribuir aplicaciones de TestFlight para iOS y víctimas de trucos para que los descarguen.
Si la víctima hace clic en el botón para descargar la aplicación Android, conduce a la implementación directa del malware en sus dispositivos, o el de un gotero que se crea utilizando un servicio de enlace APK denominado Zombinder para pasar por alto restricciones de seguridad en Android 13 y más tarde.
Algunas de las aplicaciones de Android que se han encontrado distribuyendo DatzBro se enumeran a continuación –
- Grupo senior (twzlibwr.rlrkvsdw.bcfwgozi)
- Años animados (ORGLIVERYAARS.BROWSES646)
- ActiveSenior (com.forest481.security)
- Dancewave (inedpnok.kfxuvnie.mggfqzhl)
- 作业帮 (io.mobile.itool)
- 麻豆传媒 (fsxhibqhbh.hlyzqkd.aois
- 麻豆传媒 (mobi.audio.aassistant)
- 谷歌浏览器 (tvmhnrvsp.zltixkpp.mdok)
- Mt 管理器 (varuhphk.vadneozj.tltldo)
- MT 管理器 (spvoJpr.bkkhxobj.twfwf)
- 大麦 (mnamrdrefa.edldylo.zish)
- Mt 管理器 (io.red.studio.tracker)
El malware, como otros troyanos de banca Android, tiene una amplia gama de capacidades para grabar audio, capturar fotos, acceder a archivos y fotos, y realizar fraude financiero a través de control remoto, ataques superpuestos y keylogging. También se basa en los servicios de accesibilidad de Android para realizar acciones remotas en nombre de la víctima.
Una característica notable de DATZBRO es el modo esquemático de control remoto, que permite que el malware envíe información sobre todos los elementos que se muestran en la pantalla, su posición y contenido, para permitir a los operadores recrear el diseño al final y obtener efectivamente el dispositivo.
El troyano bancario también puede servir como una superposición negra semitransparente con texto personalizado para ocultar la actividad maliciosa de una víctima, así como robar el pin de la pantalla de bloqueo del dispositivo y las contraseñas asociadas con Alipay y WeChat. Además, escanea los registros de eventos de accesibilidad para nombres de paquetes relacionados con bancos o billeteras de criptomonedas, y para texto que contiene contraseñas, alfileres u otros códigos.
«Tal filtro muestra claramente el enfoque de los desarrolladores detrás de Datzbro, no solo utilizando sus capacidades de spyware, sino también convirtiéndolo en una amenaza financiera», dijo Amenazfabric. «Con la ayuda de las capacidades de Keylogging, DatZBro puede capturar con éxito las credenciales de inicio de sesión para aplicaciones de banca móvil ingresadas por víctimas desprevenidas».
Se cree que Datzbro es el trabajo de un grupo de amenazas de habla china, dada la presencia de depuraciones chinas y cadenas de registro en el código fuente de malware. Se ha encontrado que las aplicaciones maliciosas están conectadas a un backend de comando y control (C2) que es una aplicación de escritorio en idioma chino, lo que lo hace separado de otras familias de malware que dependen de los paneles C2 basados en la web.
Amenazfabric dijo que una versión compilada de la aplicación C2 se ha filtrado a una participación del virus público, lo que sugiere que el malware puede haberse filtrado y se distribuye libremente entre los cibercriminales.
«El descubrimiento de Datzbro destaca la evolución de las amenazas móviles dirigidas a usuarios desprevenidos a través de campañas de ingeniería social», dijo la compañía. «Al centrarse en las personas mayores, los estafadores explotan la confianza y las actividades orientadas a la comunidad para atraer a las víctimas a instalar malware. Lo que comienza como una promoción de eventos aparentemente inofensiva en Facebook puede aumentar a la adquisición de dispositivos, el robo de credenciales y el fraude financiero».
La divulgación se produce cuando IBM X-Force detalló un Antídoto La campaña de malware de Android Banking, el nombre en código PhantomCall, que ha dirigido a los usuarios de las principales instituciones financieras a nivel mundial, que abarcan España, Italia, Francia, Estados Unidos, Canadá, los EAU e India, utilizando aplicaciones falsas de gotas de Google Chrome que pueden superar los controles de Android 13 que evitan que las aplicaciones laterales exploten las API de accesibilidad.
Según un análisis publicado por ProDaft en junio de 2025, Antidot se atribuye a un actor de amenaza de motivación financiera llamada LARVA-398 y está disponible para otros bajo un modelo de malware como servicio (MAAS) en foros subterráneos.
La última campaña está diseñada para utilizar la API CallScreeningService para monitorear las llamadas entrantes y bloquearlas selectivamente en función de una lista generada dinámicamente de números de teléfono almacenados en las preferencias compartidas del teléfono, permitiendo efectivamente a los atacantes prolongar el acceso no autorizado, completar transacciones fraudulentas o detección de retrasos.
«PhantomCall también permite a los atacantes iniciar una actividad fraudulenta enviando silenciosamente códigos de USSD para redirigir las llamadas, al tiempo que abusan de la llamada al servicio de llamadas de Android para bloquear las llamadas entrantes legítimas, aislar efectivamente a las víctimas y permitir la suplantación», el investigador de seguridad Ruby Cohen dicho.
«Estas capacidades juegan un papel fundamental en la orquestación de fraude financiero de alto impacto al cortar a las víctimas de canales de comunicación reales y permitir a los atacantes actuar en su nombre sin poner sospechas».
Fuente