Android Malware FvncBot, SeedSnatcher y ClayRat: así atacan tu móvil

  • FvncBot, SeedSnatcher y ClayRat explotan ingeniería social, accesibilidad y SMS para tomar el control de móviles Android y robar datos de alto valor.
  • FvncBot se orienta a banca móvil, SeedSnatcher a frases semilla y claves de criptomonedas, y ClayRat a espionaje persistente con propagación vía SMS.
  • La instalación de APK fuera de tiendas oficiales y la concesión imprudente de permisos son el principal punto de entrada para estas familias de malware.
  • Actualizar Android, limitar permisos, usar solo fuentes fiables y contar con seguridad móvil y políticas corporativas sólidas reduce drásticamente el riesgo.
Andy Acosta

15 minutos

Malware Android en smartphones

Si usas un móvil Android a diario para banca online, redes sociales o criptomonedas, te interesa prestar atención y conocer amenazas como Xiny. En los últimos meses han aparecido varias familias de malware especialmente agresivas -FvncBot, SeedSnatcher y ClayRat- que están llevando los ataques a otro nivel, mezclando ingeniería social, abuso de permisos y capacidades avanzadas de espionaje.

Aunque Google refuerza Android versión tras versión, los ciberdelincuentes han aprendido a sortear muchas de las protecciones del sistema, apoyándose en apps falsas, droppers ofuscados y campañas de phishing muy convincentes. Vamos a ver, con calma y en detalle, cómo funcionan estos malware, qué buscan exactamente y qué puedes hacer para no acabar con el móvil secuestrado y tus datos en la Dark Web.

Panorama actual del malware en Android

El ecosistema Android es gigantesco: miles de millones de dispositivos en todo el mundo gestionan pagos, autenticaciones 2FA, comunicaciones privadas y datos corporativos. Esa omnipresencia lo ha convertido en el blanco favorito de bandas criminales, estafadores financieros e incluso grupos APT con posible respaldo estatal.

Las últimas campañas detectadas por firmas como Intel471, CYFIRMA o Zimperium muestran una clara tendencia: los atacantes combinan ingeniería social, abuso de servicios de accesibilidad y superposiciones de phishing para robar credenciales, controlar el dispositivo en tiempo real y extraer información extremadamente sensible.

En este contexto aparecen tres grandes protagonistas: FvncBot, SeedSnatcher y ClayRat. Cada uno tiene su especialidad -banca, criptomonedas, espionaje persistente-, pero todos comparten un mismo enfoque: pasar desapercibidos, mantener el control el máximo tiempo posible y monetizar cada dato robado.

Los atacantes han perfeccionado el uso de droppers, ofuscadores como apk0day y servicios de mensajería como Telegram para distribuir APK maliciosos, además de páginas web que clonan casi a la perfección sitios de apps populares. El resultado es que, para un usuario medio, diferenciar una app legítima de una maliciosa se vuelve cada vez más complicado.

FvncBot: troyano bancario y RAT con control remoto por VNC

FvncBot es una familia de malware para Android relativamente nueva que combina funciones de troyano bancario con un potente acceso remoto tipo RAT basado en VNC (Virtual Network Computing). A diferencia de otros troyanos que reciclan código filtrado como ERMAC, este se ha desarrollado desde cero, lo que complica su detección mediante firmas tradicionales; si sospechas, consulta guías como tengo virus en el móvil.

Su principal campaña conocida se dirige a usuarios de banca móvil de mBank en Polonia, donde se hace pasar por una aplicación de seguridad oficial. La app fraudulenta actúa como dropper y está protegida por un servicio de cifrado/ofuscación llamado apk0day (Golden Crypt), que dificulta analizar el código y detectar la carga útil real.

Cuando el usuario abre la aplicación falsa, esta le pide instalar un supuesto “componente de Google Play” que garantice estabilidad y seguridad. En realidad, ese componente es la carga de FvncBot, que aprovecha un enfoque basado en sesiones para eludir las restricciones de accesibilidad introducidas en Android 13 y versiones posteriores.

FvncBot

Tras la instalación, el malware solicita permisos de accesibilidad con mensajes aparentemente legítimos. Una vez concedidos, obtiene privilegios elevados para automatizar gestos, pulsaciones y navegación en pantalla, algo clave para manipular apps bancarias sin que el usuario se dé cuenta. A continuación, registra el dispositivo en un servidor externo vía HTTP y utiliza Firebase Cloud Messaging (FCM) para recibir comandos en tiempo real.

Entre sus funciones destacan capacidades propias de un sofisticado RAT bancario para Android:

  • Control remoto del dispositivo mediante conexiones WebSocket para deslizar, hacer clic y moverse por la interfaz.
  • Keylogging y abuso completo de servicios de accesibilidad para registrar todas las pulsaciones en pantalla.
  • Listado y exfiltración de aplicaciones instaladas y configuración del bot al servidor de mando y control.
  • Publicación de superposiciones maliciosas a pantalla completa para suplantar apps bancarias y capturar credenciales.
  • Uso de la API MediaProjection para transmitir la pantalla en tiempo real, incluso si la app objetivo usa FLAG_SECURE para bloquear capturas.

Una función especialmente peligrosa es el llamado “modo texto”, que le permite inspeccionar el contenido de la pantalla aunque el sistema no permita hacer capturas. Esto abre la puerta a espiar aplicaciones sensibles, como banca, wallets o gestores de contraseñas, sin dejar rastro aparente.

Por ahora, las muestras analizadas de FvncBot estaban configuradas para usuarios de habla polaca, pero su diseño modular facilita adaptar plantillas de phishing y superposiciones a otros bancos y países. Además, nada impide que el mismo enfoque se use para comprometer apps corporativas, correo empresarial o gestores de contraseñas.

SeedSnatcher: cazador de frases semilla y claves privadas de criptomonedas

Mientras FvncBot se centra en la banca tradicional, SeedSnatcher va directamente a por las criptomonedas. Es un infostealer para Android orientado al robo de frases semilla de monederos, claves privadas y credenciales vinculadas a apps de cripto.

Este malware se difunde principalmente a través de Telegram y otros canales sociales bajo el nombre de “Coin” u otras variantes relacionadas con criptomonedas. Los ciberdelincuentes crean grupos y canales que aparentan ser comunidades de inversión, herramientas de gestión de wallets o versiones “premium” de apps conocidas del ecosistema cripto.

SeedSnatcher

Una vez que la víctima instala la APK maliciosa, SeedSnatcher activa un conjunto de funciones muy bien pensadas para robar todas las piezas necesarias para vaciar monederos:

  • Monitorización del portapapeles para detectar frases semilla, direcciones de wallet y claves copiadas.
  • Generación de superposiciones de phishing que imitan la interfaz de apps legítimas de criptomonedas.
  • Interceptación de SMS para capturar códigos de autenticación en dos pasos (2FA).
  • Exfiltración de datos del dispositivo, incluidos contactos, registros de llamadas, archivos y otra información sensible.

Los desarrolladores de SeedSnatcher han incorporado técnicas avanzadas de evasión como carga dinámica de clases, inyección encubierta de contenido en WebView e instrucciones de comando basadas en enteros, lo que complica el análisis estático y la detección por firmas clásicas.

En un primer momento, la app solicita permisos muy básicos, como acceso a SMS, intentando no despertar sospechas. Más adelante, va escalando privilegios para acceder al gestor de archivos, mostrar superposiciones, leer contactos y consultar el registro de llamadas, siempre con mensajes y pantallas que simulan funciones legítimas.

Distintos indicios, como documentación en chino en los paneles de control y mensajes en Telegram, apuntan a operadores de habla china detrás de esta familia. En cualquier caso, el objetivo es global: cualquier usuario que maneje criptoactivos en su móvil es un objetivo jugoso, independientemente del país.

ClayRat: spyware modular y campaña masiva de distribución

ClayRat es probablemente la amenaza más versátil y persistente de las tres. Nació como spyware para Android orientado principalmente a usuarios rusos, pero las últimas investigaciones de Zimperium, ESET y otros proveedores muestran una evolución enorme, con nuevas capacidades de espionaje, propagación y control del dispositivo.

ClayRat se distribuye mediante una combinación de páginas web fraudulentas, dominios de phishing y campañas en Telegram. Estas webs imitan sitios oficiales de aplicaciones muy populares -WhatsApp, TikTok, YouTube, Google Fotos, apps de taxi o aparcamiento locales- y muestran reseñas falsas y contadores de descargas para generar confianza.

En muchos casos, lo que se descarga no es el spyware directamente, sino un dropper ligero que contiene el malware cifrado. Este dropper puede mostrar, por ejemplo, una pantalla de actualización de Google Play aparentemente legítima, mientras en segundo plano despliega ClayRat saltándose algunos controles del sistema.

ClayRat

Una vez obtiene un hueco en el dispositivo, ClayRat abusa de dos elementos clave de Android: el servicio de accesibilidad y el rol de “gestor de SMS predeterminado”. Al conseguir ser la aplicación predeterminada de SMS, puede leer, escribir, enviar y modificar mensajes sin que el usuario lo note, interceptando códigos 2FA, conversando en nombre de la víctima y usando los mensajes como vector de propagación.

Las versiones más recientes del malware incluyen un amplio abanico de funciones de espionaje y control remoto:

  • Registro de pulsaciones, capturas y grabación de la pantalla en tiempo real.
  • Acceso y subida de SMS, historial de llamadas, notificaciones y datos del dispositivo al servidor C2.
  • Toma de fotografías -normalmente con la cámara frontal- y envío silencioso a los operadores.
  • Superposiciones que simulan pantallas de actualización del sistema o pantallas negras para ocultar acciones maliciosas.
  • Creación de notificaciones interactivas falsas para robar respuestas y pulsaciones de la víctima.

Uno de los detalles más inquietantes es la capacidad de desbloquear automáticamente el PIN, patrón o contraseña del dispositivo mediante combinación de accesibilidad y automatización de gestos. Esto permite a los atacantes controlar el móvil como si lo tuvieran en la mano, pero sin necesidad de interacción del propietario.

ClayRat también utiliza el dispositivo infectado como nodo de distribución automatizado: puede enviar SMS con enlaces maliciosos a todos los contactos de la agenda, aprovechando la confianza que existe en mensajes recibidos desde números conocidos. De este modo, la infección se expande en cadena sin necesidad de una infraestructura de spam adicional.

Se han identificado al menos 25 dominios de phishing usados para distribuir ClayRat, algunos de ellos promocionando una supuesta versión “Pro” de YouTube con reproducción en segundo plano y 4K HDR, además de versiones falsas de apps de taxis y aparcamientos. A nivel global, se han detectado infecciones en más de una veintena de países, con variantes localizadas que ajustan el idioma y la estética a cada región.

Cómo infectan estos malware tu móvil Android

Pese a su complejidad técnica, el punto de partida casi siempre es el mismo: engañar al usuario para que instale manualmente una APK o conceda permisos peligrosos. Para ello, los ciberdelincuentes recurren a una combinación de tácticas bien afinadas.

En primer lugar, se apoyan en la ingeniería social. Crean webs y canales de Telegram que imitan a la perfección servicios populares, inflan el número de descargas, publican reseñas falsas y difunden mensajes del tipo “WhatsApp sin anuncios”, “YouTube Pro gratis” o “wallet de criptomonedas con más rentabilidad”.

En segundo lugar, explotan los permisos sensibles de Android. FvncBot, SeedSnatcher y ClayRat necesitan accesibilidad, acceso a SMS, control de superposiciones y, en algunos casos, permisos de administrador del dispositivo. Para obtenerlos, muestran cuadros de diálogo y pantallas que parecen propios del sistema o de la app legítima a la que imitan.

En tercer lugar, se valen de técnicas de ofuscación y cifrado: servicios como apk0day empaquetan el código de forma que los antivirus tengan más difícil analizar la APK y detectar comportamientos sospechosos antes de la instalación. Algunas muestras incluso cifran todo el tráfico con el servidor C2 y cambian de dominio con frecuencia para esquivar bloqueos.

Por último, los atacantes integran funciones de propagación lateral, como el envío automatizado de SMS a contactos, invitaciones a canales de Telegram o enlaces compartidos en redes sociales, ampliando rápido el alcance de la campaña sin apenas esfuerzo adicional.

Impacto real: de usuarios particulares a empresas y APTs

Modding de juegos en Android: guía completa, herramientas y riesgos

Los efectos de estas familias de malware van mucho más allá de “que el móvil vaya lento”. En el caso de FvncBot, el objetivo es cometer fraude financiero en tiempo real, iniciando transferencias y operaciones desde el propio dispositivo de la víctima, lo que dificulta que el banco diferencie el fraude de una operación legítima.

SeedSnatcher apunta a frases semilla y claves privadas de monederos de criptomonedas. Si un atacante obtiene esa información, puede vaciar las wallets y mover los fondos a direcciones bajo su control en cuestión de minutos, sin posibilidad de reversión. El impacto económico para el usuario puede ser devastador.

ClayRat, por su parte, tiene una clara vocación de espionaje y control persistente. Es capaz de vigilar a la víctima, recopilar su ubicación, grabar audio y vídeo, interceptar comunicaciones privadas y abrir la puerta a ataques posteriores como ransomware o robo masivo de datos corporativos.

Las organizaciones son especialmente vulnerables cuando permiten que los empleados usen el mismo dispositivo para uso personal y laboral (BYOD). Un móvil infectado con ClayRat o SeedSnatcher puede exponer correos corporativos, documentos confidenciales, credenciales de VPN y accesos a servicios en la nube, convirtiéndose en el eslabón débil de la cadena de seguridad.

Además, parte de la infraestructura detrás de ClayRat y otros troyanos se comercializa en la Dark Web bajo modelos de Malware-as-a-Service (MaaS). Esto significa que grupos con pocos conocimientos técnicos pueden alquilar o comprar el malware ya empaquetado, con panel de control incluido, y lanzar sus propias campañas a cambio de una cuota o comisión.

Cómo detectar si tu móvil Android podría estar comprometido

Aunque estos malware intentan operar de forma silenciosa, hay señales que pueden hacer saltar las alarmas. No son pruebas definitivas, pero sí indicadores de compromiso que conviene tomar en serio:

  • Consumo anormal de batería y calentamiento del dispositivo sin un uso intenso aparente.
  • Aumento significativo del uso de datos móviles o Wi-Fi sin explicación clara.
  • Aparición de aplicaciones desconocidas o que no recuerdas haber instalado.
  • Errores frecuentes o cierres inesperados en apps legítimas como WhatsApp, TikTok o banca online.
  • Notificaciones extrañas, especialmente de SMS, permisos o servicios de accesibilidad.
  • Alertas de inicios de sesión sospechosos en tus cuentas desde otros países o dispositivos.

Si identificas varios de estos síntomas, lo recomendable es realizar un escaneo completo con una solución de seguridad móvil de confianza (Kaspersky, Bitdefender, etc.), revisar manualmente las apps instaladas y, si la situación es grave, valorar un reseteo de fábrica tras hacer copia de seguridad de lo imprescindible y seguir guías para desinstalar virus.

Buenas prácticas para proteger tu Android de FvncBot, SeedSnatcher y ClayRat

mejor forma de desbloquear un móvil Android

La primera barrera de defensa eres tú mismo. Aunque suene a tópico, la mayoría de infecciones se evitarían si el usuario fuera un poco más desconfiado con ciertas cosas del día a día y aplicara unas cuantas pautas básicas de higiene digital.

En lo relativo a las apps, la regla de oro es clara: instalar solo desde Google Play o tiendas oficiales. Descargar APKs desde enlaces de redes sociales, SMS, correos o webs de dudosa procedencia es abrir la puerta de par en par a este tipo de malware.

También es clave revisar con calma los permisos que solicita cada aplicación. Una app de vídeo que pide acceso a SMS, accesibilidad y gestión de llamadas debería despertar sospechas al instante. Si algo no cuadra, mejor cancelar la instalación.

Otra capa importante de defensa es mantener tanto el sistema operativo como las apps siempre actualizados a la última versión. Los parches de seguridad solucionan vulnerabilidades que estos troyanos intentan explotar. Activar las actualizaciones automáticas suele ser una buena idea.

Por último, merece la pena contar con uno de los mejores antivirus móviles o un antivirus o antimalware móvil reputado, que pueda detectar comportamientos anómalos, APK ofuscadas y conexiones con servidores C2 conocidos. No es una solución mágica, pero suma capas de protección y puede alertar de problemas que a simple vista pasarían desapercibidos.

Medidas avanzadas para usuarios de alto riesgo y entornos corporativos

Si gestionas grandes volúmenes de criptomonedas, manejas información especialmente sensible o administras una red corporativa, conviene ir un paso más allá en las medidas de defensa frente a amenazas móviles avanzadas como FvncBot, SeedSnatcher y ClayRat.

cómo saber qué versión de Android utiliza un teléfono o tablet

En el entorno cripto, lo más prudente es que las frases semilla y claves privadas nunca se generen ni almacenen en un móvil Android de uso general. El uso de hardware wallets, dispositivos dedicados o, como mínimo, equipos aislados de uso exclusivo para cripto reduce drásticamente el impacto de un infostealer en el teléfono.

Para empresas, es fundamental aplicar políticas estrictas de BYOD y MDM (Mobile Device Management), apoyándose en soluciones como Samsung Knox: limitar qué apps se pueden instalar, exigir cifrado completo del dispositivo, separar el perfil personal del corporativo y monitorizar indicadores de compromiso en tiempo real.

También es útil apoyarse en soluciones de monitoreo de credenciales y fugas en la Dark Web, que permitan detectar si cuentas corporativas, tokens de acceso o cookies de sesión han sido filtradas tras un incidente en un dispositivo móvil.

Formar a los empleados en ingeniería social móvil –reconocer webs falsas, enlaces de descarga dudosos o pantallas de permisos sospechosas– es tan importante como cualquier tecnología. Al final, estos troyanos suelen entrar por un clic impulsivo o una instalación “rápida” que nadie revisa.

La combinación de troyanos bancarios como FvncBot, infostealers centrados en cripto como SeedSnatcher y spyware modulares del estilo de ClayRat pinta un panorama en el que nuestro móvil Android se ha convertido en el objetivo estrella del cibercrimen. Entender cómo operan, qué permisos abusan y por qué sus campañas tienen tanto éxito es el primer paso para plantarse y no caer en la trampa; el segundo es aplicar de forma constante buenas prácticas básicas -apps solo de fuentes fiables, desconfianza ante enlaces y permisos, sistema siempre actualizado y seguridad móvil activa- para que, aunque estos malware sigan evolucionando, les resulte mucho más difícil convertir tu teléfono en su próximo bot.

Es importante combatir los virus y malware en el teléfono.
Artículo relacionado:
Cómo saber si tengo un virus en el móvil: síntomas, causas, eliminación y prevención