Los móviles Android se han convertido en el centro de nuestra vida digital: banca, criptomonedas, trabajo, redes sociales… y, por desgracia, también en el objetivo favorito de los ciberdelincuentes. Mientras muchos usuarios siguen pensando que con instalar “un antivirus” ya está todo hecho, la realidad es que el malware para Android ha dado un salto enorme en sofisticación y ya compite de tú a tú con las amenazas tradicionales para PC.
En los últimos meses, diversos laboratorios de seguridad han puesto el foco en tres familias muy concretas: FvncBot, SeedSnatcher y la versión mejorada de ClayRat. No se trata de troyanos sencillos que solo muestran publicidad molesta: hablamos de malware capaz de controlar el móvil en remoto, robar credenciales bancarias, vaciar monederos de criptomonedas, registrar pulsaciones de teclas o incluso desbloquear el dispositivo de forma automatizada, todo ello abusando de los servicios de accesibilidad y de superposiciones de pantalla muy difíciles de detectar a simple vista.
Los expertos en ciberseguridad llevan tiempo observando una evolución acelerada del malware para Android, con campañas que no solo buscan infectar al usuario doméstico, sino también a empleados de empresas y a perfiles con acceso a información sensible o fondos económicos relevantes.
Detrás de estas amenazas encontramos tanto grupos con motivación puramente financiera como actores avanzados (APT) con posibles vínculos estatales, especialmente en el caso de spyware como ClayRat, orientado al espionaje de largo recorrido, el robo de datos y el seguimiento de víctimas específicas.
Los métodos para comprometer dispositivos Android se basan, en gran medida, en la ingeniería social y en la distribución de apps maliciosas fuera de Google Play, aunque también se aprovechan tiendas de terceros, dominios de phishing que imitan servicios populares y canales de mensajería como Telegram, donde se comparten enlaces a APK manipulados.
Estos nuevos troyanos sacan partido de funcionalidades legítimas del sistema, especialmente los servicios de accesibilidad, las superposiciones de pantalla y la API MediaProjection (empleada para grabar o compartir la pantalla), convirtiéndolas en herramientas de espionaje y fraude financiero extremadamente eficaces.
En este contexto emergen con fuerza tres nombres que ya están sonando con frecuencia en informes técnicos: FvncBot, SeedSnatcher y ClayRat. Cada uno opera con tácticas propias, pero todos comparten un mismo objetivo: robar la máxima cantidad de información posible y mantener el control del dispositivo sin levantar sospechas.
Un panorama de amenazas móviles cada vez más agresivo
Los expertos en ciberseguridad llevan tiempo observando una evolución acelerada del malware para Android, con campañas que no solo buscan infectar al usuario doméstico, sino también a empleados de empresas y a perfiles con acceso a información sensible o fondos económicos relevantes.
Detrás de estas amenazas encontramos tanto grupos con motivación puramente financiera como actores avanzados (APT) con posibles vínculos estatales, especialmente en el caso de spyware como ClayRat, orientado al espionaje de largo recorrido, el robo de datos y el seguimiento de víctimas específicas.
Los métodos para comprometer dispositivos Android se basan, en gran medida, en la ingeniería social y en la distribución de apps maliciosas fuera de Google Play, aunque también se aprovechan tiendas de terceros, dominios de phishing que imitan servicios populares y canales de mensajería como Telegram, donde se comparten enlaces a APK manipulados.
Estos nuevos troyanos sacan partido de funcionalidades legítimas del sistema, especialmente los servicios de accesibilidad, las superposiciones de pantalla y la API MediaProjection (empleada para grabar o compartir la pantalla), convirtiéndolas en herramientas de espionaje y fraude financiero extremadamente eficaces.
En este contexto emergen con fuerza tres nombres que ya están sonando con frecuencia en informes técnicos: FvncBot, SeedSnatcher y ClayRat. Cada uno opera con tácticas propias, pero todos comparten un mismo objetivo: robar la máxima cantidad de información posible y mantener el control del dispositivo sin levantar sospechas.
FvncBot: troyano bancario con control remoto tipo VNC
Su principal truco es hacerse pasar por una aplicación de seguridad asociada a mBank, una entidad financiera polaca muy conocida. El usuario cree que está instalando una app legítima que refuerza la seguridad de su banca móvil, cuando en realidad está introduciendo un troyano con capacidad para registrar todo lo que hace y tomar el control del móvil a distancia.
El proceso de infección comienza a través de una app “dropper” que actúa como cargador. Esta app está protegida por un servicio de ofuscación y cifrado, conocido como apk0day, ofrecido por Golden Crypt, que dificulta el análisis del código y su identificación por soluciones de seguridad. Al abrirla, la aplicación muestra un mensaje que invita al usuario a instalar un supuesto “componente de Google Play” para mejorar la estabilidad o la protección del sistema.
En realidad, ese componente es el propio payload malicioso de FvncBot, que se aprovecha de un enfoque basado en sesiones para esquivar las restricciones de accesibilidad introducidas a partir de Android 13. De este modo, incluso en versiones recientes del sistema operativo, el malware consigue activar los permisos que necesita para ver y controlar prácticamente todo en el dispositivo.
Una vez en ejecución, FvncBot solicita al usuario que otorgue permisos de servicios de accesibilidad. Si la víctima acepta, el troyano obtiene una especie de “superpoderes” dentro del sistema: puede leer lo que se muestra en pantalla, detectar qué aplicaciones se abren, simular pulsaciones, desplegar ventanas encima de otras apps o registrar las pulsaciones de teclas en formularios sensibles, como el login del banco.
Durante su actividad, el malware envía eventos y registros a un servidor remoto asociado al dominio naleymilva.it.com, utilizado por los operadores para monitorizar el estado de cada dispositivo infectado. En las muestras analizadas se ha observado un identificador de compilación “call_pl”, que apunta explícitamente a Polonia como país objetivo, y una versión etiquetada como “1.0-P”, lo cual sugiere que FvncBot se encuentra todavía en fases iniciales de desarrollo y puede seguir evolucionando.
Tras el registro del dispositivo, FvncBot se comunica con su infraestructura de mando y control utilizando HTTP y Firebase Cloud Messaging (FCM). A través de estos canales, recibe instrucciones en tiempo real y puede modificar su comportamiento según las órdenes de los atacantes, activando o desactivando módulos específicos según el tipo de víctima o la campaña en curso.
Entre las funciones que se han documentado en este troyano destacan varias especialmente críticas, como la capacidad de iniciar o detener conexiones WebSocket que permiten el control remoto del dispositivo: los atacantes pueden deslizar, pulsar, hacer scroll, abrir aplicaciones o introducir datos casi como si tuvieran el móvil en la mano.
Además, FvncBot exfiltra eventos de accesibilidad, listas de apps instaladas e información del dispositivo (modelo, versión, configuración, etc.), para que los operadores tengan un listado completo de objetivos, sepan qué aplicaciones de banca o criptomonedas están presentes y puedan desplegar superposiciones maliciosas solo sobre las apps que realmente les interesan.
El troyano está preparado para mostrar pantallas falsas a pantalla completa, imitando interfaces de banca u otros servicios, con el fin de capturar credenciales, datos de tarjetas o códigos de un solo uso. También puede ocultar esas superposiciones cuando ya no son necesarias, de forma que la víctima apenas nota comportamiento extraño, más allá de algún posible parpadeo de pantalla que suele atribuir a un simple bug visual.
Otro aspecto llamativo de FvncBot es su uso de la API MediaProjection para retransmitir la pantalla en tiempo real. Esto, unido al control remoto vía HVNC (Hidden Virtual Network Computing), permite a los atacantes ver exactamente lo que ve la víctima y operar la app del banco con total libertad, incluso en aplicaciones que intentan bloquear capturas de pantalla mediante la flag FLAG_SECURE.
Para sortear esa limitación, FvncBot incorpora un “modo texto” que analiza el contenido de la interfaz incluso cuando no se pueden hacer capturas tradicionales. Así, aunque una app de banca o de pagos impida capturas por seguridad, el troyano consigue leer los elementos en pantalla gracias a los servicios de accesibilidad.
Por ahora no hay confirmación pública sobre el vector principal de distribución, pero por el patrón de otros troyanos bancarios similares, es muy probable que recurra a campañas de smishing (SMS de phishing), enlaces enviados por mensajería y tiendas de aplicaciones de terceros donde se suben versiones falsas de apps conocidas o supuestas herramientas de seguridad.
Aunque las muestras actuales se centran en usuarios polacos y en una entidad concreta, los analistas estiman que es cuestión de tiempo que FvncBot se adapte a otros países y bancos, cambiando el idioma, los logotipos y las plantillas de superposición con relativa facilidad.
SeedSnatcher: cazador de frases semilla y códigos 2FA
Si FvncBot tiene como objetivo principal las cuentas bancarias tradicionales, SeedSnatcher apunta de lleno al ecosistema cripto. Esta familia de malware para Android está diseñada específicamente para robar frases semilla de monederos, claves privadas y, en general, cualquier información que permita hacerse con el control de carteras de criptomonedas.
SeedSnatcher se distribuye principalmente a través de Telegram y otros canales sociales, utilizando el nombre “Coin” para camuflarse como app de inversión, herramienta de gestión de criptomonedas o promoción exclusiva. Los atacantes suelen difundir enlaces a APK supuestamente legítimos, aprovechando grupos públicos o privados relacionados con trading, NFTs o noticias de blockchain.
Una vez instalada, la aplicación maliciosa no muestra comportamientos estridentes al principio. De hecho, una de sus claves es que pide pocos permisos de entrada, normalmente acceso a SMS o funciones básicas, para no despertar sospechas ni activar alertas en soluciones de seguridad que se fijan en solicitudes de permisos excesivas.
Sin embargo, en segundo plano, SeedSnatcher comienza a desplegar su arsenal. Aprovechando técnicas avanzadas como la carga dinámica de clases y la inyección sigilosa de contenido en WebView, la app puede actualizar funcionalidades desde el servidor de mando y control, modificarse sobre la marcha o activar módulos solo cuando la víctima abre determinadas aplicaciones relacionadas con criptomonedas.
Una de las funciones más peligrosas es la capacidad de mostrar superposiciones de phishing muy convincentes que imitan la apariencia de apps de monedero conocidas, exchanges o pantallas de recuperación de cuentas. El usuario cree que está introduciendo su frase semilla para restaurar la cartera o validar su identidad, pero en realidad está entregando el control de todos sus fondos al atacante.
Además de las frases semilla, SeedSnatcher intercepta mensajes SMS entrantes para capturar códigos de autenticación en dos pasos (2FA), lo que abre la puerta a secuestrar cuentas de servicios de intercambio o de plataformas de trading que dependen de SMS como segundo factor.
El malware no se limita al mundo cripto: también está preparado para exfiltrar datos del dispositivo, incluidos contactos, registros de llamadas, ficheros almacenados en el móvil y otra información potencialmente útil para futuras campañas de fraude o para vender en mercados clandestinos.
Investigaciones atribuidas a CYFIRMA apuntan a que los operadores de SeedSnatcher podrían ser grupos con base en China o de habla china, basándose en las instrucciones en ese idioma encontradas en paneles de control y canales de distribución asociados al malware.
El proceso de escalada de privilegios de SeedSnatcher sigue un patrón muy calculado: empieza con permisos mínimos, y más tarde solicita acceso a administrador de archivos, superposiciones, contactos, registros de llamadas y otros recursos. Ese comportamiento escalonado le ayuda a esquivar soluciones de seguridad basadas en heurísticas que se activan ante peticiones masivas de permisos desde el primer arranque.
La combinación de engaño visual, robo de SMS, monitorización del portapapeles y exfiltración silenciosa de datos convierte a SeedSnatcher en una amenaza crítica para cualquier usuario que maneje criptomonedas desde su móvil, especialmente si utiliza monederos sin custodia basados en frases semilla.
ClayRat: spyware modular con control casi total del dispositivo
La iteración más reciente detectada destaca por abusar todavía más de los servicios de accesibilidad y de los permisos SMS por defecto. Gracias a ello, ClayRat puede registrar pulsaciones de teclas, leer las notificaciones que llegan al dispositivo, monitorizar aplicaciones sensibles y grabar tanto la pantalla como el audio, convirtiendo el móvil en una auténtica herramienta de vigilancia.
Este malware está diseñado para mostrar superposiciones que simulan actualizaciones del sistema, pantallas negras o ventanas de mantenimiento, usadas para ocultar las acciones maliciosas mientras los atacantes manipulan el dispositivo en segundo plano. El usuario, al ver una pantalla de “actualizando sistema” o similar, tiende a esperar sin tocar nada, lo que le da a los ciberdelincuentes todo el tiempo del mundo para trabajar.
Otra función especialmente preocupante es la capacidad de ClayRat para desbloquear automáticamente el dispositivo, tanto si usa PIN, contraseña o patrón. Combinado con la grabación de pantalla y el registro de pulsaciones, esto facilita un control total del móvil sin que el usuario tenga que volver a introducir sus credenciales una y otra vez.
En campañas recientes, ClayRat se ha difundido mediante al menos 25 dominios de phishing que imitan servicios legítimos como YouTube, promocionando una supuesta versión “Pro” con reproducción en segundo plano y soporte 4K HDR. Los usuarios descargan la app creyendo que es una variante premium y, sin darse cuenta, instalan el spyware.
También se han encontrado apps dropper que se hacen pasar por aplicaciones de taxi y aparcamiento en regiones como Rusia. Estas aplicaciones falsas actúan como vehículos de instalación para ClayRat, similar al modelo empleado por FvncBot, donde una app aparente e inocua descarga o activa el componente malicioso real.
El malware puede generar notificaciones falsas e interactivas que parecen provenir del sistema o de aplicaciones legítimas, con el fin de recolectar respuestas del usuario (por ejemplo, códigos, confirmaciones de operaciones o permisos adicionales) sin que este sea consciente de que está interactuando con una interfaz controlada por el atacante.
En comparación con versiones anteriores, la nueva variante de ClayRat es mucho más difícil de eliminar: sus mecanismos de persistencia y su capacidad para camuflar su actividad mediante superposiciones y bloqueo de pantalla hacen que el usuario tenga menos oportunidades para desinstalar la aplicación o apagar el dispositivo a tiempo.
Estas características, unidas a la sospecha de que pueda estar vinculado a grupos APT con posible patrocinio estatal, convierten a ClayRat en una de las herramientas de spyware móvil más peligrosas en la actualidad, especialmente en entornos corporativos con políticas BYOD (Bring Your Own Device), donde los empleados usan sus móviles personales para acceder a sistemas internos.
Técnicas comunes: accesibilidad, overlays y evasión avanzada
Aunque FvncBot, SeedSnatcher y ClayRat tengan objetivos distintos (banca tradicional, criptomonedas o espionaje avanzado), comparten un conjunto de tácticas y técnicas clave que explican por qué están logrando tanto éxito en campañas reales.
En primer lugar, el abuso de los servicios de accesibilidad de Android se ha convertido en la piedra angular del malware moderno. Esta funcionalidad, diseñada originalmente para ayudar a personas con discapacidad a interactuar con el dispositivo, permite leer el contenido de la interfaz, detectar cambios en pantalla y automatizar acciones, lo que resulta extremadamente útil… tanto para la usabilidad como para el cibercrimen.
Otro elemento compartido es el uso intensivo de superposiciones (overlays) para suplantar aplicaciones legítimas. Al colocar una pantalla falsa encima de una app real —ya sea el banco, un monedero cripto o un servicio popular— los atacantes pueden capturar credenciales, datos personales y cualquier información introducida por el usuario, sin necesidad de vulnerar directamente la aplicación objetivo.
Además, estos troyanos integran técnicas avanzadas de evasión para complicar su análisis y detección; aprende a analizar malware con Google Play Protect: ofuscación de código, servicios de cifrado externos como apk0day, carga dinámica de clases que se descargan desde el servidor de mando y control solo cuando hacen falta, e incluso instrucciones de comando basadas en enteros para que el tráfico parezca menos evidente.
La comunicación con los servidores de los atacantes también se ha sofisticado. El uso de Firebase Cloud Messaging para recibir órdenes, el establecimiento de conexiones WebSocket para control en tiempo real y la exfiltración discreta de datos mediante HTTP o HTTPS hacen que el tráfico malicioso se mezcle con el legítimo, dificultando su identificación en redes corporativas o domésticas.
Todo esto se combina con un trabajo muy pulido de ingeniería social: apps que se hacen pasar por componentes de Google Play, aplicaciones de seguridad, herramientas bancarias oficiales, versiones “Pro” de plataformas populares como YouTube o servicios muy demandados como taxis y aparcamientos. El objetivo es bajar la guardia del usuario y convencerle de que conceda permisos críticos sin pensárselo demasiado.
Cómo proteger tu Android frente a FvncBot, SeedSnatcher y ClayRat
Ninguna medida es infalible, pero aplicar buenas prácticas básicas reduce drásticamente la probabilidad de caer en campañas como las de FvncBot, SeedSnatcher o ClayRat. Muchos de los ataques se apoyan en descuidos del usuario y en configuraciones poco cuidadas del dispositivo.
La primera regla es obvia pero sigue siendo la más efectiva: instalar aplicaciones únicamente desde fuentes de confianza, como Google Play o las webs oficiales de los proveedores, y revisar listas de apps peligrosas. Descargar APK de enlaces en foros, canales de Telegram o páginas que prometen versiones gratuitas de apps de pago es, hoy por hoy, una de las principales puertas de entrada del malware móvil.
También es imprescindible mantener el sistema operativo y las aplicaciones siempre actualizados. Google y los fabricantes lanzan con frecuencia parches que corrigen vulnerabilidades de seguridad, y muchos troyanos dependen de fallos ya conocidos que se podrían evitar simplemente instalando las últimas versiones disponibles.
La gestión de contraseñas y de la autenticación es otro punto crítico. Usar claves robustas, únicas para cada servicio, y activar la autenticación en dos pasos (2FA) en banca, correo, redes sociales y plataformas cripto añade una capa extra de protección, aunque, como hemos visto, algunos malware intentan robar también los códigos de 2FA vía SMS.
Siempre que sea posible, es recomendable optar por métodos de 2FA más robustos, como aplicaciones de autenticación o llaves físicas de seguridad, en lugar del SMS tradicional, que resulta más fácil de interceptar por malware como SeedSnatcher.
Otro consejo clave es revisar con calma los permisos que solicitan las aplicaciones. Si una app que supuestamente sirve para ver vídeos, consultar el tiempo o gestionar el parking pide acceso completo a SMS, servicios de accesibilidad, contactos o administración del dispositivo, conviene desconfiar. Muchos ataques se basan en que el usuario pulsa “Aceptar” sin leer.
En el entorno corporativo, las organizaciones deberían implantar políticas de gestión de dispositivos móviles (MDM), limitar la instalación de apps no autorizadas y realizar auditorías periódicas para detectar comportamientos sospechosos. Además, es esencial formar a los empleados para que reconozcan intentos de phishing, tanto por SMS como por correo o mensajería instantánea.
Para usuarios avanzados, puede ser útil combinar las medidas anteriores con soluciones específicas de seguridad móvil que analicen el comportamiento de las aplicaciones, detecten abusos de accesibilidad y revisen de forma continua la integridad del dispositivo. No obstante, ninguna herramienta técnica sustituye al sentido común a la hora de instalar y usar apps.
A nivel personal, conviene adoptar ciertos hábitos: desconfiar de enlaces inesperados, revisar la URL de las webs que piden credenciales, evitar introducir frases semilla o datos bancarios en pantallas que aparezcan tras instalar apps desconocidas y, en caso de duda, contactar directamente con la entidad o servicio a través de canales oficiales.
La aparición de FvncBot, SeedSnatcher y la renovada ClayRat demuestra que el frente de batalla se ha trasladado al móvil con la misma o más intensidad que en el ordenador de sobremesa. La combinación de abuso de accesibilidad, overlays sofisticados, control remoto tipo VNC y evasión avanzada hace que cualquier descuido pueda traducirse en robo de dinero, vaciado de wallets o exposición total de la vida digital. Asumir que el teléfono es un objetivo prioritario y actuar en consecuencia —cuidando qué instalamos, qué permisos damos y cómo gestionamos nuestras cuentas— se ha vuelto una pieza clave de la seguridad diaria.
