Los investigadores en ciberseguridad han detectado un nuevo troyano para Android que apunta a operaciones financieras mediante el control remoto de dispositivos. Conocido como Massiv, este software malicioso se disfraza de aplicaciones de IPTV para ganarse la confianza de quienes buscan ver televisión en línea y termina ejecutando una serie de técnicas destinadas a vaciar cuentas o suplantar identidades.
Massiv no se limita a robar credenciales de forma tradicional: combina captura de pantalla, registro de teclas y sobreposición de interfaces falsas para engañar al usuario y capturar datos sensibles, incluidos números de tarjeta y PIN. Para la transmisión de pantalla aprovecha la API de MediaProjection de Android, una funcionalidad legítima diseñada para compartir la pantalla pero que en manos equivocadas facilita el robo visual de lo que aparece en el dispositivo (documentación oficial de MediaProjection).
Cuando una app legítima intenta impedir capturas, Massiv recurre a un método más silencioso: utiliza los servicios de accesibilidad para leer la estructura de la interfaz de usuario. Al recorrer los árboles de ventanas y nodos de accesibilidad, el malware construye una representación en JSON del contenido visible —textos, descripciones, posiciones y qué elementos son interactivos— y envía esa información al atacante, que puede así decidir qué acciones automatizar.
Esta capacidad de "ver" y manipular la pantalla se complementa con pantallas negras que ocultan la actividad maliciosa al usuario, la posibilidad de silenciar el dispositivo, simular toques y deslizamientos, alterar el portapapeles y hasta desbloquear el teléfono si conoce o consigue el patrón. Además, puede descargar superposiciones específicas para aplicaciones bancarias o de identidad y ejecutar instalaciones de paquetes sin que la víctima lo perciba fácilmente.
Un ejemplo preocupante detectado por los analistas es el uso de estas superposiciones para atacar aplicaciones de administración pública. En Portugal, se han observado campañas que intentan engañar a usuarios de la app oficial gov.pt, asociada a la gestión de la Chave Móvel Digital, para pedir el número de teléfono y el PIN y así eludir controles de verificación. Con esos datos, los delincuentes han logrado abrir cuentas bancarias a nombre de las víctimas y utilizarlas como vehículos para blanquear dinero o solicitar créditos.
La distribución de Massiv suele hacerse a través de "droppers": aplicaciones que aparentan ser reproductores o servicios de IPTV y que llegan por mensajes SMS con enlaces de phishing. Al abrirse, la aplicación muestra una página legítima dentro de un WebView mientras que, en segundo plano, ya se ha instalado el componente malicioso que solicita permisos para instalar aplicaciones de fuentes desconocidas y para acceder a SMS y otras funciones críticas.
El patrón no es nuevo, pero sí inquietante por su sofisticación. El abuso de los servicios de accesibilidad para automatizar fraudes y la técnica de superposición han sido empleadas por familias de malware bancario en Android durante años. Massiv añade a ese repertorio un conjunto modular de comandos remotos y la capacidad de descargar paquetes con plantillas para apuntar a aplicaciones concretas, lo que sugiere que sus autores están profesionalizando la herramienta.
Los informes técnicos que han descrito este troyano apuntan a campañas focalizadas en países como España, Portugal, Francia y Turquía. Además, los indicios en el código —por ejemplo, la introducción de claves API para la comunicación con el servidor— hacen pensar que sus operadores podrían terminar ofreciéndolo como un servicio para otros ciberdelincuentes, un modelo conocido como Malware-as-a-Service.
Para los usuarios, hay medidas prácticas que reducen el riesgo: evitar instalar aplicaciones desde enlaces recibidos por SMS, comprobar siempre que una app provenga de tiendas oficiales, mantener el sistema operativo y las apps actualizadas y revisar los permisos que solicita una aplicación. Activa las protecciones automáticas como Google Play Protect y desconfía de solicitudes que piden permisos elevados para “actualizaciones importantes” cuando la fuente no es verificable (información sobre Play Protect).
Si tienes una app bancaria, asegúrate de usar los canales oficiales del banco y activa autenticación de múltiples factores cuando esté disponible. Ante la sospecha de un fraude o si notas transacciones extrañas, contacta inmediatamente con tu entidad financiera y considera la opción de restablecer dispositivos comprometidos a los ajustes de fábrica tras guardar copias de lo necesario.
La aparición de Massiv recuerda que el ecosistema móvil sigue siendo un objetivo lucrativo y que las tácticas evolucionan con rapidez. Para quien quiera profundizar en el análisis técnico y la detección, los investigadores que documentaron esta campaña han publicado un reporte detallado con indicadores y observaciones (informe de ThreatFabric), y los medios especializados han replicado y contextualizado sus hallazgos (The Hacker News).
La lección es clara: las aplicaciones que imitan servicios populares, como los reproductores de TV, son una vía habitual para introducir amenazas. La precaución y las buenas prácticas al instalar software siguen siendo la primera línea de defensa frente a herramientas cada vez más automáticas y potentes diseñadas para apoderarse de nuestros teléfonos y, con ellos, de nuestro dinero y nuestra identidad.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...