Investigadores de ciberseguridad revelaron detalles sobre dos nuevas familias de malware para Android, llamadas FvncBot y SeedSnatcher, además de una versión más avanzada del conocido spyware ClayRat, que ya está circulando activamente.
FvncBot se hace pasar por una aplicación de seguridad asociada a mBank y está dirigido a usuarios de banca móvil en Polonia. Lo particular es que fue desarrollado desde cero, sin basarse en el código filtrado de otros troyanos como ERMAC. Este malware incorpora funciones como captura de teclas mediante abuso de servicios de accesibilidad, ataques web-inject, transmisión de pantalla y control remoto encubierto (HVNC) para realizar fraudes financieros. La app maliciosa se distribuye como un cargador protegido por el servicio de ofuscación apk0day.
Al ejecutarse, solicita la instalación de un supuesto componente de Google Play, que en realidad permite desplegar el malware incluso en dispositivos con Android 13 o superior. Luego obtiene permisos de accesibilidad, registra el dispositivo en un servidor externo y recibe instrucciones a través de Firebase Cloud Messaging. Entre sus capacidades están controlar gestos del dispositivo, superponer pantallas falsas, extraer datos sensibles, transmitir la pantalla e incluso analizar el diseño visual de apps que bloquean capturas mediante FLAG_SECURE.
SeedSnatcher, por otro lado, se difunde mediante Telegram bajo el nombre “Coin” y está diseñado para robar frases semilla de monederos de criptomonedas, interceptar SMS para capturar códigos 2FA y extraer datos del dispositivo. Emplea técnicas avanzadas de evasión como carga dinámica de clases, inyección encubierta en WebView y comandos basados en enteros. Sus operadores parecen ser de habla china.
Finalmente, Zimperium reportó una variante mejorada de ClayRat, ahora con mayor abuso de servicios de accesibilidad y de permisos SMS por defecto. La nueva versión puede registrar pulsaciones, grabar la pantalla, superponer ventanas que simulan actualizaciones del sistema, generar notificaciones falsas y hasta desbloquear el dispositivo de manera automatizada. ClayRat se ha distribuido mediante dominios de phishing que simulan servicios legítimos —como una versión “Pro” de YouTube— así como apps falsas de taxis y estacionamientos en Rusia.
Cybersecurity researchers have detailed two newly identified Android malware families — FvncBot and SeedSnatcher — alongside a significantly enhanced version of the spyware ClayRat, which is already active in the wild.
FvncBot impersonates a security app tied to mBank and targets mobile banking users in Poland. Notably, it was built entirely from scratch rather than borrowing from leaked Android banking trojans like ERMAC. Its feature set includes keystroke capture through abused accessibility services, web-inject mechanisms, screen streaming, and stealthy HVNC capabilities to carry out financial fraud. The malicious app acts as a loader protected by the apk0day crypting service.
When launched, it prompts users to install a fake Google Play component, allowing the malware to bypass Android 13+ accessibility restrictions. It then requests accessibility permissions, registers the infected device with its command server, and receives instructions via Firebase Cloud Messaging. Its capabilities include remote screen control, data exfiltration, malicious overlays, keystroke logging, and screen streaming — even bypassing FLAG_SECURE protections.
SeedSnatcher, distributed on Telegram as “Coin,” focuses on stealing cryptocurrency wallet seed phrases, intercepting SMS messages to capture 2FA codes, and harvesting device data. It uses advanced evasion mechanisms such as dynamic class loading, stealth WebView injections, and integer-based command instructions. Indicators suggest Chinese-speaking operators.
Zimperium also reports a strengthened version of ClayRat, now equipped with deeper accessibility abuse and SMS permissions. The upgraded strain can record keystrokes and the screen, display deceptive system-style overlays, generate fake interactive notifications, and even automatically unlock the device. ClayRat campaigns rely on phishing domains posing as YouTube “Pro” and other fraudulent apps, including fake taxi and parking services.
El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …
El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:
En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.
El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.
Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/
Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.
La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:
La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.
