9 de enero de 2026

Gusano de WhatsApp propaga Astaroth y golpea a la banca digital en Brasil

Gusano de WhatsApp propaga Astaroth y golpea a la banca digital en Brasil

Un gusano de mensajería en WhatsApp está difundiendo el troyano bancario Astaroth en Brasil mediante mensajes automáticos a contactos, aprovechando la confianza en la plataforma para escalar rápidamente entre usuarios Android. La campaña reactiva técnicas vistas en 2019, ahora reforzadas con ofuscación avanzada para evadir defensas modernas.

Mecánica de propagación

  • El gusano se activa al recibir un mensaje con enlace camuflado como oferta urgente (p. ej., “¡Actualiza tu cuenta ahora!”).

  • El enlace descarga un APK malicioso o induce sideloading, instalando Astaroth.

  • Una vez activo, autoenvía el mismo enlace a todos los contactos del usuario infectado, generando propagación exponencial.

  • La cadena evade filtros de spam porque los mensajes provienen de contactos legítimos.

Capacidades del malware

Astaroth incorpora keylogging, captura de pantalla en tiempo real y overlay attacks para robar credenciales de apps bancarias como Itaú, Bradesco y Nubank. La exfiltración se realiza vía Telegram o servidores comprometidos en Brasil.

Impacto en usuarios brasileños

Brasil registra miles de infecciones diarias, con pérdidas millonarias asociadas a fraudes sobre PIX y boleto. El gusano mantiene persistencia mediante Accessibility Services y wake locks, resistiendo reinicios y antivirus básicos.
El impacto es mayor en PYMES y usuarios no técnicos, y se amplifica por picos de uso de WhatsApp para transacciones en un país donde la app domina el parque móvil.

Indicadores y detección

  • Mensajes repetitivos desde contactos con enlaces cortos (bit.ly, goo.gl) o solicitudes de “verificación”.

  • En Android: permisos excesivos en apps recientes (accesibilidad, superposición).

  • Tráfico saliente a dominios como astaroth[.]club o IPs brasileñas anómalas.

  • Herramientas como VirusTotal o Zimperium detectan variantes, pero el autoenvío exige respuesta social inmediata (avisar y bloquear).

Medidas de prevención

  • Deshabilitar auto-descarga de medios en WhatsApp.

  • Activar verificación en dos pasos y mantener el SO actualizado.

  • Usar apps bancarias oficiales con biometría.

  • Educar contactos sobre phishing por cadenas y reportar cuentas comprometidas para cuarentena rápida.

  • En empresas: DLP en endpoints móviles, monitoreo de flujos PIX sospechosos y rotación de OTPs ante alertas de login inusuales.

Fuente: https://www.acronis.com/en/tru/posts/boto-cor-de-rosa-campaign-reveals-astaroth-whatsapp-based-worm-activity-in-brazil/
← Anterior Cisco Talos atribuye campaña de espionaj...
Escrito por:
Luis Carreón
📰 Otras noticias del día
CISA incorpora vulnerabilidades activamente explotadas en Microsoft Office y HPE OneView al catálogo KEV
OpenAI presenta ChatGPT Health: IA médica con aislamiento y cifrado de datos
Coolify expone 11 vulnerabilidades críticas que permiten control total en entornos self-hosted
NodeCordRAT: malware en npm usa Discord como C2 y apunta a desarrolladores cripto
Cisco corrige vulnerabilidad crítica RCE en Identity Services Engine tras PoC público
Cisco Talos atribuye campaña de espionaje a UAT-7290 contra telecomunicaciones
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

← Volver al inicio