El troyano para Android "Datzbro" puede robar el PIN de la pantalla de bloqueo del dispositivo
Investigadores de ciberseguridad han detectado un troyano bancario para Android no documentado previamente llamado Datzbro que puede llevar a cabo ataques de apropiación de dispositivos (DTO) y realizar transacciones fraudulentas aprovechándose de personas mayores.
La empresa neerlandesa de seguridad móvil ThreatFabric afirmó haber descubierto la campaña en agosto de 2025 después de que usuarios en Australia denunciaran a estafadores que gestionaban grupos de Facebook que promocionaban "viajes activos para personas mayores". Otros territorios atacados por los actores de amenazas incluyen Singapur, Malasia, Canadá, Sudáfrica y el Reino Unido.
Las campañas, añadió, se centraban específicamente en personas mayores que buscaban actividades sociales, viajes, reuniones presenciales y eventos similares. Se ha descubierto que estos grupos de Facebook comparten contenido generado por inteligencia artificial (IA), afirmando organizar diversas actividades para personas mayores.
Si los posibles objetivos expresan su voluntad de participar en estos eventos, se les contacta posteriormente a través de Facebook Messenger o WhatsApp, donde se les pide que descarguen un archivo APK desde un enlace fraudulento (por ejemplo, "download.seniorgroupapps[.]com").
"Los sitios web falsos incitaban a los visitantes a instalar una supuesta aplicación comunitaria, afirmando que les permitiría registrarse para eventos, conectarse con miembros y realizar un seguimiento de las actividades programadas", dijo ThreatFabric en un informe.
Curiosamente, también se ha descubierto que los sitios web contienen enlaces de marcador de posición para descargar una aplicación iOS, lo que indica que los atacantes buscan apuntar a ambos sistemas operativos móviles, distribuir aplicaciones TestFlight para iOS y engañar a las víctimas para que las descarguen.
Si la víctima hace clic en el botón para descargar la aplicación de Android, esto conduce a la implementación directa del malware en sus dispositivos o a la de un gotero creado utilizando un servicio de enlace de APK llamado Zombinder para eludir las restricciones de seguridad en Android 13 y versiones posteriores.
El malware, al igual que otros troyanos bancarios de Android, cuenta con una amplia gama de capacidades para grabar audio, capturar fotos, acceder a archivos y fotos, y realizar fraudes financieros mediante control remoto, ataques de superposición y keylogging. También se basa en los servicios de accesibilidad de Android para realizar acciones remotas en nombre de la víctima.
Una notable característica de Datzbro es el modo de control remoto esquemático, que permite al malware enviar información sobre todos los elementos que se muestran en la pantalla, su posición y contenido, para permitir a los operadores recrear el diseño en su extremo y controlar efectivamente el dispositivo.
El troyano bancario también puede actuar como una superposición negra semitransparente con texto personalizado para ocultar la actividad maliciosa a la víctima, así como robar el PIN de la pantalla de bloqueo del dispositivo y las contraseñas asociadas con Alipay y WeChat. Además, analiza los registros de eventos de accesibilidad en busca de nombres de paquetes relacionados con bancos o monederos de criptomonedas, y texto que contenga contraseñas, PIN u otros códigos.
"Este filtro muestra claramente el enfoque de los desarrolladores detrás de Datzbro, que no solo utilizan sus capacidades de spyware, sino que también lo convierten en una amenaza financiera", declaró ThreatFabric. "Gracias a sus capacidades de keylogging, Datzbro puede capturar con éxito las credenciales de inicio de sesión de aplicaciones de banca móvil introducidas por desprevenidas víctimas".
Se cree que Datzbro es obra de un grupo de amenazas de habla china, dada la presencia de cadenas de depuración y registro en chino en el código fuente del malware. Se ha descubierto que las aplicaciones maliciosas están conectadas a un backend de comando y control (C2) que es una aplicación de escritorio en chino, lo que la distingue de otras familias de malware que se basan en paneles C2 web.
ThreatFabric afirmó que una versión compilada de la aplicación C2 se filtró a un repositorio público de virus, lo que sugiere que el malware puede haberse filtrado y estar distribuyéndose libremente entre los ciberdelincuentes.
"El descubrimiento de Datzbro pone de relieve la evolución de las amenazas móviles dirigidas a usuarios desprevenidos mediante campañas de ingeniería social", declaró la compañía. "Al centrarse en las personas mayores, los estafadores explotan la confianza y las actividades comunitarias para inducir a las víctimas a instalar malware. Lo que comienza como una promoción de un evento aparentemente inofensiva en Facebook puede derivar en robo de dispositivos, robo de credenciales y fraude financiero".
