Detectadas nuevas familias de malware Android: FvncBot y SeedSnatcher elevan el riesgo para banca móvil

Introducción

En las últimas semanas, la comunidad de ciberseguridad ha asistido a la aparición de dos nuevas familias de malware dirigidas específicamente al ecosistema Android: FvncBot y SeedSnatcher. Paralelamente, se ha observado en la naturaleza una versión actualizada del conocido troyano ClayRat, que continúa evolucionando en sus tácticas contra usuarios y empresas. Estos hallazgos han sido reportados por Intel 471, CYFIRMA y Zimperium, y suponen un punto de inflexión en la sofisticación y alcance de las amenazas móviles, especialmente para el sector financiero en Europa.

Contexto del Incidente o Vulnerabilidad

El malware móvil sigue siendo una de las principales preocupaciones para las entidades financieras y los usuarios que operan con banca digital. FvncBot ha sido detectado suplantando la identidad de una aplicación de seguridad legítima, supuestamente desarrollada por mBank, con el objetivo de embaucar a usuarios polacos de servicios bancarios. Por otro lado, SeedSnatcher representa un nuevo vector de amenaza aún en fase de análisis, mientras que ClayRat, conocido desde hace meses, incorpora nuevas capacidades para evadir controles y persistir en dispositivos comprometidos. La simultaneidad de estas amenazas evidencia un incremento en la actividad maliciosa focalizada en dispositivos Android, tradicionalmente más expuestos por la fragmentación del sistema y la distribución de aplicaciones fuera de mercados oficiales.

Detalles Técnicos

FvncBot: Este malware se distribuye como una falsa aplicación de seguridad de mBank. Suficientemente sofisticado, emplea técnicas de ingeniería social para obtener permisos elevados en el dispositivo, incluyendo el acceso a servicios de accesibilidad. Una vez instalado, FvncBot puede capturar credenciales de acceso bancario, interceptar mensajes SMS (incluyendo OTPs para autenticación multifactor) y establecer sesiones remotas tipo VNC, permitiendo a los atacantes interactuar en tiempo real con el dispositivo de la víctima. El malware utiliza canales cifrados para la exfiltración de datos y comunicaciones con su C2, dificultando la detección mediante IDS convencionales.

SeedSnatcher: Aunque aún se encuentra en fase temprana de análisis, SeedSnatcher destaca por su modularidad y el uso de técnicas de ofuscación avanzadas. La muestra identificada incluye payloads dedicados a la exfiltración de información de apps financieras y criptomonedas, así como capacidades de keylogging y screen capturing. El mecanismo de persistencia se basa en la explotación de vulnerabilidades conocidas en versiones Android < 11 (CVE-2020-0069, CVE-2019-2234), además de abusar de APIs internas para eludir los permisos de usuario.

ClayRat (versión actualizada): El troyano ClayRat ha mostrado una evolución en sus TTPs, incorporando la utilización de frameworks como Cobalt Strike para el movimiento lateral y la ejecución de comandos arbitrarios. Además, ha añadido capacidades anti-análisis y sandbox evasion, incrementando significativamente la dificultad para los analistas forenses. La campaña identificada utiliza exploits de día cero para obtener persistencia, y su vector de ataque principal sigue siendo la descarga de APKs maliciosos desde sitios web de phishing.

En cuanto a las técnicas y tácticas MITRE ATT&CK, se observan principalmente T1059 (Command and Scripting Interpreter), T1071 (Application Layer Protocol), T1566 (Phishing), y T1204 (User Execution). Los IoC publicados incluyen hashes MD5/SHA256 de las muestras, direcciones IP de C2 y dominios asociados a las campañas.

Impacto y Riesgos

El impacto de estas amenazas es significativo. Según estimaciones preliminares, FvncBot ya ha comprometido al menos a un 2% de los usuarios de mBank en Polonia, con pérdidas potenciales de hasta 1 millón de euros en transferencias fraudulentas. SeedSnatcher, aunque menos extendido, podría tener un efecto considerable si se dirige a aplicaciones de criptomonedas, dada la irreversibilidad de las transacciones blockchain. ClayRat, por su parte, sigue siendo una amenaza persistente para empresas que permiten dispositivos BYOD o no cuentan con políticas estrictas de gestión de endpoints móviles.

A nivel de cumplimiento, la exposición de datos personales y credenciales vulnera el RGPD (Reglamento General de Protección de Datos), así como los requisitos de la Directiva NIS2 en cuanto a gestión de incidentes y notificación de brechas de seguridad.

Medidas de Mitigación y Recomendaciones

– Restringir la instalación de aplicaciones fuera de Google Play Store mediante políticas MDM.
– Implementar soluciones EDR/EPP con capacidades específicas para análisis de comportamiento en dispositivos móviles.
– Revisar y endurecer los permisos concedidos a apps, especialmente aquellos relacionados con accesibilidad y SMS.
– Mantener actualizado el sistema operativo Android y desplegar parches para CVEs conocidos.
– Monitorizar activamente los IoC proporcionados por los investigadores de seguridad.
– Realizar campañas de concienciación sobre ingeniería social y phishing móvil, tanto para empleados como para clientes.

Opinión de Expertos

Según Intel 471, “la sofisticación de FvncBot marca un cambio de paradigma en la forma en que los grupos criminales operan sobre Android, priorizando el acceso remoto y la simultaneidad de ataques”. CYFIRMA destaca que SeedSnatcher “demuestra la tendencia de modularidad y adaptabilidad, anticipando ataques más personalizados y selectivos”. Desde Zimperium, se subraya la “necesidad urgente de que bancos y proveedores de servicios financieros adopten un enfoque proactivo, integrando análisis de amenazas móviles en sus SOC”.

Implicaciones para Empresas y Usuarios

La aparición de estas nuevas amenazas exige un cambio en la gestión del riesgo móvil. Para las empresas, es imprescindible reforzar las políticas de seguridad BYOD, implementar soluciones MTD (Mobile Threat Defense) y establecer canales de respuesta a incidentes específicos para dispositivos móviles. Los usuarios deben evitar descargar aplicaciones de fuentes no verificadas y revisar regularmente los permisos concedidos. Además, la colaboración entre equipos de seguridad, cumplimiento legal y recursos humanos será clave para cumplir con las obligaciones regulatorias impuestas por el RGPD y la NIS2.

Conclusiones

La rápida evolución de amenazas como FvncBot, SeedSnatcher y ClayRat evidencia la urgencia de un enfoque integral en la protección del ecosistema móvil, especialmente en sectores críticos como la banca. La sofisticación técnica y el uso de tácticas avanzadas requieren una vigilancia constante, actualización de controles y una concienciación continua tanto de usuarios como de profesionales. Las organizaciones que no adapten sus estrategias de defensa se exponen a brechas económicas, regulatorias y reputacionales de gran calado.

(Fuente: feeds.feedburner.com)