Un nuevo malware bancario para Android, bautizado por los investigadores como Massiv, está utilizando aplicaciones falsas de IPTV como gancho para robar identidades digitales y acceder a cuentas bancarias en línea. Los operadores detrás de esta familia de malware aprovechan la costumbre de muchos usuarios de descargar APKs fuera de tiendas oficiales para camuflar el troyano como una app de televisión por Internet, y así convencer a la víctima de instalar software aparentemente inofensivo.
Según el análisis publicado por la firma de detección de fraude y vigilancia de amenazas móviles ThreatFabric, Massiv no se limita a robar credenciales con técnicas básicas: combina superposiciones de pantalla y keylogging con dos modos de control remoto que permiten a los atacantes manipular el dispositivo como si lo tuvieran físicamente en la mano. Esto incluye la capacidad de ver la pantalla en directo mediante la API de MediaProjection de Android y un modo que extrae la estructura de la interfaz (texto visible, nombres de elementos, coordenadas y atributos de interacción) usando el servicio de accesibilidad del sistema.
El uso de la API MediaProjection para transmitir la pantalla y la extracción de un “árbol UI” desde Accessibility Service convierten a Massiv en una amenaza sofisticada: el primer método permite observar exactamente lo que el usuario ve, mientras que el segundo facilita interacciones automatizadas sobre elementos de la interfaz, como pulsar botones o rellenar campos de texto. Este último modo puede sortear las protecciones que muchas apps bancarias y de mensajería activan para impedir capturas de pantalla o grabaciones, porque los atacantes actúan sobre la estructura de la interfaz en lugar de depender únicamente de imágenes.
Las consecuencias son graves. En campañas observadas por ThreatFabric, Massiv atacó una aplicación gubernamental portuguesa que se conecta con la Chave Móvel Digital, el sistema portugués de autenticación y firma digital. La información extraída de una app de este tipo puede permitir a los delincuentes eludir procesos de verificación de clientes (KYC), abrir cuentas bancarias a nombre de la víctima en otras entidades, solicitar préstamos o ejecutar esquemas de blanqueo de capitales, dejando obligaciones financieras en la persona real que nunca autorizó esas operaciones.
Los investigadores también señalan una pauta preocupante: en los últimos meses ha aumentado el número de APKs temáticos de IPTV utilizados como descargadores de malware. Dado que estas aplicaciones suelen estar involucradas en infracciones de derechos de autor, no aparecen en Google Play y sus usuarios están habituados a obtenerlas desde canales no oficiales, lo que reduce la sospecha cuando se solicita la instalación de una APK lateral (sideload).
El mapa de afectación reportado por los analistas muestra una mayor actividad en España, Portugal, Francia y Turquía, aunque la técnica en sí es aplicable a cualquier mercado donde existan usuarios dispuestos a instalar apps fuera de tiendas oficiales. En muchos casos el instalador (dropper) se hace pasar por una app legítima de IPTV o incluso muestra un sitio real dentro de un WebView para mantener la apariencia de normalidad mientras el payload malicioso se instala en segundo plano.
Protegerse frente a amenazas como Massiv exige combinar sentido común con medidas técnicas. En primer lugar, evitar descargar aplicaciones de fuentes no verificadas es la defensa más eficaz: buscar siempre editores y apps reputadas en la tienda oficial, comprobar reseñas y permisos, y desconfiar de instaladores que piden activar servicios de accesibilidad o permisos de grabación de pantalla sin justificación clara. Mantener activo Google Play Protect y utilizarlo para escanear el dispositivo regularmente aporta una capa adicional de detección; la página de Google sobre Play Protect explica su funcionamiento y cómo activarlo en cada Android: soporte de Google Play Protect.
Técnicamente, los desarrolladores de apps y las entidades financieras también pueden mitigar el riesgo: usar mecanismos de autenticación fuertes (preferiblemente hardware-backed), limitar la exposición de datos sensibles en la interfaz, detectar interacciones anómalas y emplear comprobaciones anti-automación. Los usuarios avanzados deben familiarizarse con los permisos que solicitan las apps y desconfiar especialmente de solicitudes de activación del servicio de accesibilidad, que a menudo se abusa para controlar dispositivos. Quienes desarrollen o administren servicios que manejan identidades digitales pueden consultar la documentación técnica oficial sobre la API MediaProjection y AccessibilityService para comprender cómo se abusa de estas herramientas: MediaProjection (Android) y AccessibilityService (Android).
Si sospechas que tu dispositivo ha sido comprometido, es recomendable desconectar inmediatamente de redes públicas, revocar credenciales relevantes (cambiar contraseñas y PINs en otro dispositivo seguro), contactar con tu banco y con las autoridades competentes y, en casos de infección confirmada, restaurar el teléfono a su estado de fábrica tras hacer copia de seguridad de los datos legítimos. En Portugal, por ejemplo, los organismos de ciberseguridad pública pueden orientar sobre incidentes relacionados con servicios nacionales de identidad digital; el Centro Nacional de Cibersegurança es uno de los recursos oficiales.
Massiv es un recordatorio de que las amenazas móviles evolucionan aprovechando la mezcla de herramientas legítimas del sistema y el comportamiento humano: la tecnología que facilita la accesibilidad y la grabación de pantalla también puede convertirse en un vector para el fraude si cae en malas manos. Mantener hábitos seguros al instalar apps, actualizar el sistema operativo y revisar actividad financiera con frecuencia reduce notablemente el riesgo de ser víctima de este tipo de ataques.
Para profundizar en el informe técnico y ver ejemplos de cómo funciona Massiv y las campañas observadas, puedes consultar el análisis completo de ThreatFabric en su blog: Massiv: When your IPTV app terminates your savings, así como la cobertura periodística que sintetiza estos hallazgos en medios especializados.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...