FvncBot, SeedSnatcher y ClayRat: nuevas capacidades avanzadas elevan el robo de datos en Android
Investigadores de Intel 471, CYFIRMA y Zimperium han identificado tres familias de malware Android con capacidades significativamente mejoradas: FvncBot, SeedSnatcher y una variante renovada de ClayRat. Todas comparten un objetivo claro: robar datos financieros, acceder a wallets de criptomonedas y obtener control casi total del dispositivo, aprovechando brechas de permisos y servicios del sistema.
FvncBot: ingeniería social bancaria + control remoto encubierto
FvncBot se distribuye disfrazado como una app oficial de seguridad de mBank, dirigida a usuarios en Polonia. La infección comienza con un loader capaz de instalar el payload final mediante sesión, lo que le permite evadir restricciones introducidas en Android 13+ relacionadas con la instalación lateral.
Entre sus capacidades más peligrosas destacan:
-
Abuso de Servicios de Accesibilidad para keylogging, web injection y robo de credenciales
-
HVNC remoto (control del dispositivo sin que el usuario lo note)
-
Streaming de pantalla en H.264
-
Overlays maliciosos que imitan pantallas legítimas
-
Comunicación mediante WebSocket y Firebase Cloud Messaging (FCM)
-
Protección mediante el servicio de ofuscación apk0day de Golden Crypt
El malware exfiltra información detallada del dispositivo, listas de apps y eventos en tiempo real, orientado claramente a fraudes financieros.
SeedSnatcher y ClayRat: robo de wallets y control persistente
SeedSnatcher, distribuido a través de Telegram bajo el nombre “Coin”, se centra en el robo de frases semilla de wallets cripto. Sus funciones incluyen:
-
Captura de frases semilla mediante overlays phishing
-
Interceptación de SMS para saltar 2FA
-
Robo de contactos, registros de llamadas y archivos
-
Carga dinámica de clases y comandos C2 codificados como enteros
-
Indicios de operación vinculada a actores chinos
Por su parte, la versión mejorada de ClayRat muestra un nivel de agresividad superior. Aprovecha accesibilidad y permisos SMS para:
-
Keylogging avanzado
-
Grabación de pantalla
-
Overlays que simulan actualizaciones del sistema
-
Desbloqueo automático del dispositivo
-
Notificaciones falsas para incentivar interacción
-
Distribución vía dominios phishing que imitan YouTube o apps rusas de taxi
Ambas amenazas se orientan a comprometer dispositivos personales utilizados en entornos corporativos, facilitando fraudes, robo de activos digitales y espionaje.
Cómo proteger a los usuarios y a la infraestructura
Los analistas recomiendan reforzar las políticas de seguridad móvil con:
-
Prohibición estricta de instalar apps fuera de Google Play o repos corporativos controlados
-
Rechazo sistemático a permisos sensibles como Accesibilidad y SMS, salvo para apps verificadas
-
Monitoreo de tráfico FCM y WebSocket, que se está volviendo un canal preferido para C2 móvil
-
Uso de soluciones antimalware con detección conductual, no solo firmas
-
Educación continua para evitar engaños con overlays y apps “legítimas” distribuidas por Telegram o SMS
Estas nuevas variantes confirman una tendencia crítica para equipos de TI: el abuso creciente de servicios internos de Android —especialmente Accesibilidad— como vector de control total y robo financiero, un riesgo especialmente alto en entornos BYOD y trabajo remoto.
