Un ejemplo claro es la familia bautizada como PixRevolution, analizada por Zimperium. Este malware se ha centrado en Brasil y su objetivo principal es la plataforma de pagos instantáneos Pix. En vez de limitarse a robar credenciales, espera el momento exacto en que la víctima inicia una transferencia, captura la pantalla y sustituye la “clave Pix” del beneficiario por la del atacante, todo mientras muestra una pantalla de carga falsa para que la víctima no sospeche. Dado que las transferencias vía Pix son instantáneas y definitivas, la recuperación del dinero suele ser extremadamente complicada. Más detalles técnicos pueden consultarse en el informe de Zimperium y en la documentación oficial sobre Pix del Banco Central de Brasil: Zimperium — PixRevolution y Banco Central do Brasil — Pix.
Otra familia preocupante detectada en Brasil es BeatBanker. Los investigadores de Kaspersky muestran que su distribución se apoya en páginas que imitan la tienda de aplicaciones para engañar a las víctimas. BeatBanker combina varias capacidades: un componente minero de criptomonedas, un módulo bancario con overlays que sustituyen direcciones de destino en transferencias (por ejemplo, USDT) y mecanismos poco ortodoxos para mantenerse activo en el sistema. Sorprende su truco de persistencia: reproduce un fichero de audio casi inaudible en bucle para dificultar que el sistema operativo mate su proceso. El análisis de Kaspersky describe estos comportamientos y las defensas que utiliza la muestra: Kaspersky — BeatBanker.
En la misma línea de amenazas híbridas aparece TaxiSpy RAT, que combina la usurpación de interfaces (overlays) con monitorización completa del dispositivo. Esta familia abusa de los servicios de accesibilidad y de la API de captura de pantalla para recopilar mensajes SMS, registros de llamadas, contactos, contenido del portapapeles, patrones de bloqueo y hasta pulsaciones de teclas. Además incorpora técnicas de evasión, cifrado de librerías nativas y control remoto tipo VNC sobre WebSocket. Informes de CYFIRMA y otras firmas recogen muestras y señales de que los autores buscan evadir firmas y listas negras: CYFIRMA — TaxiSpy y Zimperium — IOCs TaxiSpy.
Además de familias particulares, el ecosistema delictivo se organiza comercialmente. Existen productos que se ofrecen en forma de suscripción o de pago único y ponen estas capacidades al alcance de compradores con pocos conocimientos técnicos. Mirax, por ejemplo, ha sido promocionado como un servicio privado con overlays bancarios, registro de pulsaciones y proxy SOCKS5, a precios que se han divulgado en foros. Otro caso reciente es Oblivion, un RAT que se vende con la promesa de sortear protecciones de fabricantes de móviles y automatizar la concesión de permisos en capas de Android personalizadas (Samsung, Xiaomi, OPPO, etc.). Estos desarrollos fueron detectados y comentados por analistas y por publicaciones que siguen la venta de estas amenazas: publicación sobre Mirax y análisis de Oblivion por Certo.
Un vector comercial adicional es SURXRAT, distribuido a través de canales en Telegram y considerado una evolución de familias previas. SURXRAT hace uso de permisos de accesibilidad y de infraestructura basada en Firebase para comunicación con sus operadores. Lo más inquietante: algunos ejemplares descargan un módulo de modelo de lenguaje grande (LLM) en condiciones muy concretas —por ejemplo, cuando detectan que la víctima tiene determinados juegos instalados— y también incluyen módulos tipo “locker” que bloquean la pantalla pidiendo rescate. El informe de Cyble examina estas capacidades emergentes y sugiere que los atacantes están probando integrar IA en sus herramientas: Cyble — SURXRAT y LLM.
¿Cómo llegan estas amenazas al teléfono? Los ataques combinan técnicas sociales y técnicas: páginas que simulan la tienda oficial, APKs “dropper” para forzar la instalación fuera de Google Play, solicitudes de permisos de accesibilidad que facilitan el control completo, APIs legítimas como MediaProjection para capturar pantalla y servicios como Firebase para recibir órdenes remotas. Con estos ingredientes, los atacantes pueden ver la pantalla en tiempo real, superponer vistas falsas para modificar la información mostrada y ejecutar comandos remotos.
La evolución tecnológica del malware también implica mejoras en su ingeniería para evitar análisis: cifrado de bibliotecas nativas, ofuscación de cadenas, comprobaciones de entornos emulados, y mecanismos de persistencia que dificultan su eliminación. Peor aún, el modelo “malware como servicio” baja la barrera de entrada: cualquiera con recursos puede alquilar o comprar estas herramientas y lanzar campañas dirigidas.
Frente a este panorama, hay medidas prácticas que cualquier persona puede aplicar de inmediato para reducir el riesgo. No descargar aplicaciones desde páginas o enlaces sospechosos; preferir siempre la tienda oficial y comprobar la reputación del desarrollador. No conceder permisos de accesibilidad a aplicaciones que no lo requieran expresamente y revisar periódicamente qué apps tienen ese privilegio. Mantener actualizado el sistema operativo y las aplicaciones, activar las protecciones de Google Play Protect y usar autenticación adicional (notificaciones del banco, códigos de operación, 2FA) para las transacciones bancarias. Si hay dudas sobre una transferencia, contactar de inmediato con la entidad financiera: en operaciones instantáneas como Pix el tiempo es esencial. Para más orientación sobre las protecciones de Google Play puede consultarse la documentación de Play Protect: Google Play Protect.
La aparición de componentes basados en IA dentro de paquetes maliciosos es un aviso: los atacantes experimentan con nuevas formas de automatizar la interacción con la víctima, adaptar ataques y evadir detecciones. Esto no solo implica mayor sofisticación técnica, sino también la necesidad de que las defensas y la regulación avancen al mismo ritmo. Mientras tanto, la mejor vacuna sigue siendo la prudencia del usuario y una respuesta rápida ante cualquier señal de actividad sospechosa.
Si crees que tu dispositivo ha sido comprometido, desconéctalo de redes, cambia contraseñas desde otro equipo seguro y contacta a tu banco para bloquear operaciones. Reportar el incidente a las autoridades locales y a servicios de seguridad ayuda a trazar y frenar estas campañas. La amenaza crece y se profesionaliza, pero con prevención y reacción rápida se puede minimizar el daño.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...