Los investigadores de ciberseguridad han identificado un troyano bancario Android previamente indocumentado llamado Datzbro que puede llevar a cabo la toma de control del dispositivo ( PUNTO ) ataca y realiza transacciones fraudulentas aprovechándose de las personas mayores.
La empresa holandesa de seguridad móvil ThreatFabric dijo que descubrió la campaña en agosto de 2025, después de que usuarios de Australia denunciaran a estafadores que gestionaban grupos de Facebook que promocionaban «viajes activos para personas mayores». Algunos de los otros territorios atacados por los actores de la amenaza son Singapur, Malasia, Canadá, Sudáfrica y el Reino Unido.
Las campañas, añadió, se centraron específicamente en las personas mayores que buscaban actividades sociales, viajes, reuniones presenciales y eventos similares. Se ha descubierto que estos grupos de Facebook comparten contenido generado por inteligencia artificial (IA) y afirman organizar diversas actividades para personas mayores.
Si los posibles objetivos expresan su voluntad de participar en estos eventos, se les contacta posteriormente a través de Facebook Messenger o WhatsApp, donde se les pide que descarguen un archivo APK desde un enlace fraudulento (por ejemplo, «download.seniorgroupapps [.] com»).
«Los sitios web falsos incitaban a los visitantes a instalar una llamada aplicación comunitaria, con el argumento de que les permitiría registrarse en eventos, conectarse con los miembros y realizar un seguimiento de las actividades programadas», dijo ThreatFabric dijo en un informe compartido con The Hacker News.
Curiosamente, también se ha descubierto que los sitios web contienen enlaces marcadores de posición para descargar una aplicación iOS, lo que indica que los atacantes buscan atacar ambos sistemas operativos móviles, distribuyendo aplicaciones de TestFlight para iOS y engañando a las víctimas para que las descarguen.
Si la víctima hace clic en el botón para descargar la aplicación de Android, esto conduce al despliegue directo del malware en sus dispositivos o al de un dropper creado mediante un servicio de enlace de APK denominado Zombinder eludir restricciones de seguridad en Android 13 y versiones posteriores.
Algunas de las aplicaciones de Android que se han encontrado distribuyendo Datzbro se enumeran a continuación:
- Grupo sénior (twzlibwr.rlrkvsdw.bcfwgozi)
- Lively Years (o LivelyYears. Browses 646)
- Active Senior (com.forest481.security)
- DanceWave (inedpnok.kfxuvnie.mggfqzhl)
- (io.Mobile.iTool)
- (fsxhibqhbh.hlyzqkd.aois
- (mobi.audio.assistant)
- (tvmhnrvsp.zltixkpp.mdok)
- MT( varuhphk.vadneozj.tldo)
- MT( spvojpr.bkkhxobj.twfwf)
- (mnamrdrefa.edldylo.zish)
- MT( io.red.studio.tracker)
El malware, al igual que otros troyanos bancarios de Android, tiene una amplia gama de capacidades para grabar audio, capturar fotos, acceder a archivos y fotos y realizar fraudes financieros mediante el control remoto, los ataques de superposición y el registro de teclas. También se basa en los servicios de accesibilidad de Android para realizar acciones remotas en nombre de la víctima.
Una característica notable de Datzbro es el modo esquemático de control remoto, que permite al malware enviar información sobre todos los elementos que se muestran en la pantalla, su posición y contenido, de modo que los operadores puedan recrear el diseño por su parte y controlar el dispositivo de manera efectiva.
El troyano bancario también puede funcionar como una superposición negra semitransparente con texto personalizado para ocultar la actividad maliciosa a la víctima, así como robar el PIN de la pantalla de bloqueo del dispositivo y las contraseñas asociadas con Alipay y WeChat. Además, escanea los registros de eventos de accesibilidad en busca de nombres de paquetes relacionados con bancos o carteras de criptomonedas, y busca textos que contengan contraseñas, PIN u otros códigos.
«Este filtro muestra claramente el enfoque de los desarrolladores detrás de Datzbro, que no solo utilizan sus capacidades de spyware, sino que también lo convierten en una amenaza financiera», afirma ThreatFabric. «Con la ayuda de las funciones de registro de teclas, Datzbro puede capturar correctamente las credenciales de inicio de sesión de las aplicaciones de banca móvil introducidas por víctimas desprevenidas».
Se cree que Datzbro es obra de un grupo de amenazas de habla china, dada la presencia de cadenas de depuración y registro en chino en el código fuente del malware. Se ha descubierto que las aplicaciones maliciosas están conectadas a un backend de comando y control (C2), que es una aplicación de escritorio en idioma chino, lo que la diferencia de otras familias de malware que utilizan paneles C2 basados en la web.
ThreatFabric dijo que una versión compilada de la aplicación C2 se filtró a una red pública de virus, lo que sugiere que el malware podría haberse filtrado y que se está distribuyendo libremente entre los ciberdelincuentes.
«El descubrimiento de Datzbro pone de relieve la evolución de las amenazas móviles dirigidas a usuarios desprevenidos a través de campañas de ingeniería social», afirma la empresa. «Al centrarse en las personas mayores, los estafadores explotan la confianza y las actividades orientadas a la comunidad para atraer a las víctimas a instalar malware. Lo que comienza como una promoción de eventos aparentemente inofensiva en Facebook puede desembocar en la apropiación de dispositivos, el robo de credenciales y el fraude financiero».
La revelación se produce cuando IBM X-Force detalló un AntiDot Campaña de malware bancario para Android, con el nombre en código PhantomCall, dirigida a usuarios de las principales instituciones financieras del mundo, en España, Italia, Francia, EE. UU., Canadá, los Emiratos Árabes Unidos y la India, mediante aplicaciones falsas de Google Chrome que pueden eludir los controles de Android 13 que impiden que las aplicaciones descargadas exploten las API de accesibilidad.
Según un análisis publicado por PRODAFT en junio de 2025, AntiDot se atribuye a un actor de amenazas con motivaciones financieras llamado LARVA-398 y está disponible para otros bajo un modelo de malware como servicio (MaaS) en foros clandestinos.
La última campaña está diseñada para utilizar la API CallScreeningService para supervisar las llamadas entrantes y bloquearlas de forma selectiva en función de una lista de números de teléfono generada dinámicamente y almacenados en las preferencias compartidas del teléfono, lo que permite a los atacantes prolongar el acceso no autorizado, completar transacciones fraudulentas o retrasar la detección.
«PhantomCall también permite a los atacantes iniciar actividades fraudulentas enviando de forma silenciosa códigos USSD para redirigir las llamadas y, al mismo tiempo, abusar del servicio de detección de llamadas de Android para bloquear las llamadas entrantes legítimas, aislando de manera efectiva a las víctimas y permitiendo la suplantación de identidad», dijo la investigadora de seguridad Ruby Cohen dijo .
«Estas capacidades desempeñan un papel fundamental a la hora de orquestar un fraude financiero de gran impacto al aislar a las víctimas de los canales de comunicación reales y permitir a los atacantes actuar en su nombre sin levantar sospechas».