Lanzar un ciberataque contra dispositivos Android ya no es un desafío técnico reservado a expertos. El informe “Renting Android Malware Is Getting Easier and Cheaper”, publicado por el investigador de amenazas Daniel Kelley en iVerify, advierte que por 300 dólares al mes cualquiera puede adquirir kits de malware-as-a-service (MaaS) con capacidades avanzadas como interceptación de códigos OTP para 2FA, instalación remota de aplicaciones, exfiltración de datos y evasión de Google Play Protect.
“Estos kits vienen con todo lo necesario: infraestructura backend, soporte en Telegram y mecanismos integrados para esquivar las soluciones de seguridad”, explica Kelley en el informe.
PhantomOS y Nebula: malware empaquetado con soporte técnico
El estudio destaca a PhantomOS, que se comercializa como “el APK más potente del mercado”. Sus funciones incluyen instalación silenciosa de aplicaciones maliciosas, ocultamiento para evitar la detección por el usuario y un sistema de overlays capaz de superponer interfaces de phishing que imitan apps bancarias o servicios online específicos, como Coinbase o HSBC.
Por su parte, Nebula se dirige a actores menos sofisticados, ofreciendo una operación automatizada de recolección de SMS, contactos, registros de llamadas y geolocalización GPS. Todo ello se administra desde un simple bot de Telegram, con actualizaciones periódicas para garantizar compatibilidad con las últimas versiones de Android.
Para evitar la detección, estos kits integran herramientas de crypting que ofuscan el código y alteran las firmas del APK, manteniéndolo “FUD” (Fully Undetectable) ante antivirus y Google Play Protect. “El ciclo de evasión es continuo: cuando una variante es detectada, los operadores modifican el packer o actualizan el loader para recuperar el sigilo”, añade el informe.
Distribución a escala
Las plataformas MaaS no se limitan a vender el malware: también ofrecen mecanismos de distribución. Desde plantillas de phishing que se activan al abrir apps bancarias, hasta kits de explotación ADB que escanean direcciones IP en busca de dispositivos con puertos abiertos y despliegan el malware sin interacción del usuario.
Además, existe un mercado paralelo de dispositivos ya infectados, donde se venden “installs” por región o tipo de dispositivo. Esto permite a un atacante adquirir de golpe cientos de terminales comprometidos listos para explotación, sin necesidad de realizar campañas de infección.
La oferta se completa con paquetes como Hydra, un botnet modular para Android con funciones de interceptación de SMS, ransomware, keylogging, acceso remoto mediante VNC y desactivación de protecciones. Su precio ronda los 3.500 dólares con servidor incluido, lo que refleja el nivel de madurez de este ecosistema criminal.
Medidas de defensa
La creciente profesionalización del MaaS en Android obliga a las organizaciones a reforzar su seguridad móvil. iVerify propone un enfoque basado en la monitorización de indicadores de compromiso a través de análisis de registros y datos de diagnóstico, sin necesidad de sistemas MDM. Esta solución permite identificar anomalías y comportamientos maliciosos en entornos de alta confianza.
