DroidBot es un sofisticado troyano de acceso remoto (RAT) que ha sido descubierto afectando a más de 70 aplicaciones bancarias y servicios financieros en Europa. Este malware combina tecnología de compartición de pantalla remota VNC con características propias del spyware, lo que lo convierte en una amenaza especialmente peligrosa.
La principal característica que distingue a DroidBot es su mecanismo de comunicación de doble canal, utilizando el protocolo MQTT para datos salientes y HTTPS para comandos entrantes. Esta arquitectura dual mejora significativamente su resistencia y flexibilidad operativa.
Objetivos y alcance de la amenaza DroidBot
El malware está dirigido específicamente a usuarios de España, Reino Unido, Italia, Francia y Portugal, aunque los expertos advierten de una posible expansión hacia Latinoamérica. Los objetivos principales incluyen:
- Aplicaciones bancarias de importantes entidades financieras
- Servicios de intercambio de criptomonedas
- Entidades gubernamentales
- Organizaciones nacionales relacionadas con servicios financieros
Los ciberdelincuentes utilizan técnicas de ingeniería social para distribuir DroidBot, disfrazándolo como:
- Aplicaciones de seguridad genéricas
- Servicios falsos de Google
- Aplicaciones bancarias falsificadas
Una vez instalado, el malware puede:
- Interceptar mensajes SMS de verificación bancaria
- Capturar las credenciales bancarias mediante keylogger
- Monitorizar la actividad del usuario en tiempo real
- Robar información personal sensible
El malware opera bajo un modelo de Malware como Servicio (MaaS), con 17 grupos de afiliados identificados que se reparten los 77 objetivos confirmados. Esta estructura permite que criminales con menos recursos técnicos puedan utilizar la infraestructura existente para sus ataques.
La amenaza fue detectada inicialmente a finales de octubre de 2024, aunque la campaña está activa desde junio del mismo año. Los investigadores han vinculado su origen a Turquía, y señalan que el malware se encuentra en desarrollo activo, lo que sugiere que sus capacidades podrían expandirse en el futuro.
Para protegerse de esta amenaza, se recomienda:
- Descargar aplicaciones únicamente de fuentes oficiales
- Mantener el sistema operativo y las aplicaciones actualizadas
- Verificar cuidadosamente los permisos solicitados por las aplicaciones
- Utilizar soluciones de seguridad móvil actualizadas
- Estar alerta ante cualquier comportamiento sospechoso del dispositivo
La sofisticación y alcance de DroidBot representa una nueva evolución en el panorama de las amenazas móviles, requiriendo una mayor atención por parte de usuarios y organizaciones en la protección de sus activos digitales.
