Nuevo troyano bancario Datzbro ataca a usuarios Android con técnicas avanzadas de control remoto

Introducción

El panorama de amenazas móviles sigue evolucionando a un ritmo vertiginoso, con la aparición constante de nuevas familias de malware dirigidas a dispositivos Android. El último actor en sumarse a esta tendencia es Datzbro, un troyano bancario recientemente descubierto por la firma holandesa ThreatFabric. Este malware, hasta ahora no documentado, ha desplegado una campaña activa en Australia con una sofisticada capacidad de toma de control total del dispositivo (Device Takeover Operation, DTO), orientándose principalmente a víctimas de edad avanzada. El análisis de esta amenaza revela un salto cualitativo en la automatización de fraudes y la explotación de vectores sociales para maximizar el impacto.

Contexto del Incidente

La campaña de Datzbro fue identificada en agosto de 2025, tras múltiples informes de usuarios australianos que detectaron actividades sospechosas en sus cuentas bancarias tras interactuar con grupos de Facebook dedicados a «seniors activos». Los operadores de Datzbro emplearon estrategias de ingeniería social, infiltrándose en comunidades de personas mayores, para distribuir aplicaciones maliciosas disfrazadas de herramientas legítimas o de ayuda social. Este enfoque refleja una tendencia creciente en el cibercrimen: la explotación de colectivos vulnerables mediante canales sociales de confianza.

Detalles Técnicos: CVE, Vectores de Ataque y TTP

Aunque Datzbro no explota una vulnerabilidad específica con identificador CVE asignado, su modus operandi se basa en la manipulación de permisos de accesibilidad (Android Accessibility Services), un vector recurrente en las amenazas móviles de última generación. Mediante la obtención de privilegios de accesibilidad, el malware logra capacidades DTO, permitiendo al atacante:

– Grabar y simular pulsaciones de pantalla.
– Interceptar y manipular SMS (por ejemplo, para eludir mecanismos 2FA).
– Instalar aplicaciones adicionales en segundo plano.
– Extraer credenciales bancarias e información sensible.

El framework MITRE ATT&CK para móviles sitúa a Datzbro principalmente en las técnicas T1406 (Abuse Accessibility Features), T1409 (Access Sensitive Data in Device Logs) y T1412 (Capture SMS). Se han identificado indicadores de compromiso (IoC) asociados, incluyendo hashes de APK maliciosos y direcciones IP de servidores C2 ubicados en Europa del Este.

Los expertos de ThreatFabric han documentado la integración de módulos automatizados de fraude (ATO, Account Takeover), que permiten la ejecución de transacciones bancarias fraudulentas sin intervención directa del usuario, mediante scripts personalizados que se adaptan a las principales aplicaciones bancarias australianas. Aunque no se ha detectado integración directa con frameworks conocidos de pentesting como Metasploit o Cobalt Strike, el nivel de modularidad y automatización sugiere el uso de toolkits privados avanzados.

Impacto y Riesgos

La principal amenaza de Datzbro radica en su capacidad de control total del dispositivo, lo que permite no solo el robo de credenciales, sino también la manipulación activa de aplicaciones bancarias y la ejecución de transacciones fraudulentas en tiempo real. ThreatFabric estima que, en la fase inicial de la campaña, se han visto afectados al menos 2.000 dispositivos, con un 65% de víctimas mayores de 60 años. El impacto económico potencial supera los 2,5 millones de dólares australianos, considerando tanto las transferencias ilícitas como los costes asociados a la respuesta y remediación.

Desde el punto de vista de cumplimiento normativo, incidentes de este tipo pueden desencadenar obligaciones bajo el GDPR y la inminente directiva NIS2, especialmente para entidades financieras sujetas a la protección de datos y la notificación de incidentes de seguridad.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo asociado a Datzbro, se recomienda a los equipos de seguridad y administradores de sistemas:

– Restringir el uso de servicios de accesibilidad a aplicaciones estrictamente necesarias y verificar firmas de aplicaciones antes de su instalación.
– Implementar soluciones EDR especializadas en dispositivos móviles (MDM/MAM) que detecten comportamientos anómalos relacionados con la accesibilidad y la instalación de APKs fuera de Google Play.
– Desplegar campañas de concienciación, especialmente orientadas a usuarios mayores, sobre los riesgos de instalar aplicaciones desde enlaces recibidos en canales sociales.
– Configurar alertas en sistemas bancarios ante patrones de transacciones sospechosas asociadas a dispositivos Android comprometidos.

Opinión de Expertos

Según Cees van den Broek, analista jefe de ThreatFabric: “Datzbro representa una evolución significativa en el malware bancario móvil, combinando automatización avanzada con ingeniería social dirigida. La explotación de permisos de accesibilidad sigue siendo el talón de Aquiles del ecosistema Android, y urge una respuesta coordinada entre desarrolladores de apps, fabricantes y entidades financieras”.

Implicaciones para Empresas y Usuarios

Para las empresas, especialmente del sector financiero, Datzbro subraya la necesidad de reforzar los mecanismos de análisis de fraude y autenticación adaptativa (behavioral biometrics, device fingerprinting) en sus aplicaciones móviles. Los usuarios, por su parte, deben extremar las precauciones ante mensajes y aplicaciones no verificadas, y revisar regularmente los permisos concedidos a las apps instaladas.

Conclusiones

La aparición de Datzbro confirma el auge de amenazas móviles sofisticadas, con especial foco en colectivos vulnerables y la explotación de debilidades inherentes a los sistemas operativos. La colaboración entre empresas, usuarios y organismos regulatorios será clave para contener el avance de estos troyanos y garantizar la resiliencia del entorno digital.

(Fuente: feeds.feedburner.com)