Un reciente hallazgo en el ámbito de la ciberseguridad ha puesto en alerta a usuarios de dispositivos Android en Europa, donde investigadores han identificado un nuevo tipo de malware llamado DroidBot. Este software malicioso está incrustado en más de 70 aplicaciones relacionadas con servicios bancarios, intercambios de criptomonedas y otras entidades relevantes, que han sido descargadas principalmente en países como España, Reino Unido, Italia, Francia y Portugal.

DroidBot se presenta como un troyano de acceso remoto (RAT por sus siglas en inglés) sumamente avanzado, que no solo habilita el uso compartido de la pantalla a través del Virtual Network Computing (VNC), sino que también incorpora funcionalidades típicas de programas espía. Esta combinación le permite a los cibercriminales obtener información sensible del usuario de manera sigilosa y efectiva.

Para atraer a sus potenciales víctimas, los atacantes utilizan engaños que son comunes en muchas campañas de distribución de malware bancario. Con ello, DroidBot se camufla como si fuera aplicaciones de seguridad estándar, servicios de Google o populares aplicaciones bancarias, facilitando así su descarga y, por ende, la infección del dispositivo.

La alerta sobre esta amenaza fue emitida por el equipo de seguridad de Cleafy TIR a finales de octubre de 2024. Uno de los componentes más peligrosos de DroidBot es su capacidad para operar un keylogger y rutinas de monitoreo que permiten interceptar mensajes SMS de instituciones financieras, como aquellos que contienen números de autenticación de transacciones (TAN). Esto pone a los usuarios en riesgo de sufrir el robo de información personal y credenciales de acceso.

Lo que distingue a DroidBot de otros troyanos es su mecanismo de comunicación de doble canal. Este sofisticado sistema permite que la información recolectada de los dispositivos infectados se envíe a través del protocolo MQTT (Message Queuing Telemetry Transport) para datos salientes, mientras que las órdenes que recibe el malware provienen del protocolo HTTPS. Esta doble vía de comunicación no solo aumenta la flexibilidad operativa del troyano, sino que también incrementa su resistencia frente a intentos de detección y bloqueo.

La actividad asociada con este troyano comenzó en junio de 2024 y se ha conectado a grupos de ciberdelincuentes en Turquía, lo que sugiere un cambio más amplio en las tácticas utilizadas y en el enfoque geográfico de las operaciones, según indican los especialistas en seguridad. Además, las evidencias apuntan a que DroidBot continúa en una fase de desarrollo activo, incrementando su peligro potencial.

DroidBot también se caracteriza por funcionar como un modelo de 'malware' como servicio (MaaS), lo que significa que ofrece su software malicioso a individuos o grupos con menos recursos técnicos. Esto permite que hasta los cibercriminales más inexpertos puedan llevar a cabo sus actividades delictivas con facilidad.

Actualmente, se estima que el troyano cuenta con 17 grupos diferentes de afiliados, cada uno con identificadores únicos, que están dirigiendo sus ataques hacia 77 objetivos seleccionados, que abarcan desde aplicaciones bancarias hasta entidades gubernamentales y organizaciones nacionales.

Los expertos en ciberseguridad han observado que la amenaza de DroidBot ha tenido éxito en dirigirse a usuarios en España, Reino Unido, Italia, Francia y Portugal, y existe preocupación que su alcance se expanda hacia regiones de América Latina. Esta expansión podría acentuar aún más la necesidad de una mayor concienciación y protección ante estas nuevas olas de ciberataques.