Los investigadores de ciberseguridad han traumatizado un troyano de banca Android previamente indocumentado llamado Dzkro Eso puede realizar ataques de adquisición de dispositivos (DTO) y realizar transacciones fraudulentas al aprovecharse de los ancianos.
La compañía de seguridad móvil holandesa, Denacefabric, dijo que descubrió la campaña en agosto de 2025 luego de que los usuarios de Australia informaron que los estafadores administraban grupos de Facebook que promueven «viajes senior activos». Algunos de los otros territorios dirigidos por los actores de amenaza incluyen Singapur, Malasia, Canadá, Sudáfrica y el Reino Unido
Las campañas, agregó, se centraron específicamente en personas mayores que buscan actividades sociales, viajes, reuniones en persona y eventos similares. Se ha incompatible que estos grupos de Facebook comparten contenido generado por inteligencia químico (AI), que afirman organizar varias actividades para las personas mayores.
Si los posibles objetivos expresan su disposición a participar en estos eventos, seguidamente se les acerca a través de Facebook Messenger o WhatsApp, donde se les pide que descarguen un archivo APK de un enlace fraudulento (por ejemplo, «Descargar.SeniorGroupApps (.) Com»).
«Los sitios web falsos llevaron a los visitantes a instalar una llamamiento aplicación comunitaria, alegando que les permitiría registrarse para eventos, conectarse con los miembros y realizar un seguimiento de las actividades programadas», dijo Amensefabric en un referencia compartido con Hacker News.
Curiosamente, además se ha descubierto que los sitios web contienen enlaces de marcadores de posición para descargar una aplicación iOS, lo que indica que los atacantes buscan dirigirse a los sistemas operativos móviles, distribuir aplicaciones de TestFlight para iOS y víctimas de trucos para que los descarguen.
Si la víctima hace clic en el clavija para descargar la aplicación Android, conduce a la implementación directa del malware en sus dispositivos, o el de un cuentagotas que se crea utilizando un servicio de enlace APK denominado Zombinder para evitar restricciones de seguridad en Android 13 y más tarde.
Algunas de las aplicaciones de Android que se han incompatible distribuyendo DatzBro se enumeran a continuación –
- Agrupación senior (twzlibwr.rlrkvsdw.bcfwgozi)
- Primaveras animados (ORGLIVERYAARS.BROWSES646)
- ActiveSenior (com.forest481.security)
- Dancewave (inedpnok.kfxuvnie.mggfqzhl)
- Ayuda de tarea (io.mobile.itool)
- Media Madou (fsxhibqhbh.hlyzqkd.aois
- Medou Media (Mobi.audio.AsAssistant)
- Google Chrome (TVMHNRVSP.ZLTIXKPP.MDOK)
- Director de Mt (varuhphk.vadneozj.tltldo)
- MT Manager (SpvoJpr.BKKHXOBJ.TWFWF)
- 大麦 (Mamridrefa.eldyllo.disho.zish)
- MT Manager (io.red.studio.tracker)
El malware, como otros troyanos de banca Android, tiene una amplia matiz de capacidades para memorizar audio, capturar fotos, lograr a archivos y fotos, y realizar fraude financiero a través de control remoto, ataques superpuestos y keylogging. Asimismo se plinto en los servicios de accesibilidad de Android para realizar acciones remotas en nombre de la víctima.
Una característica trascendental de DATZBRO es el modo resumido de control remoto, que permite que el malware envíe información sobre todos los utensilios que se muestran en la pantalla, su posición y contenido, para permitir a los operadores alegrar el diseño al final y obtener efectivamente el dispositivo.
El troyano bancario además puede servir como una superposición negra semitransparente con texto personalizado para ocultar la actividad maliciosa de una víctima, así como robar el pin de la pantalla de cerco del dispositivo y las contraseñas asociadas con Alipay y WeChat. Adicionalmente, escanea los registros de eventos de accesibilidad para nombres de paquetes relacionados con bancos o billeteras de criptomonedas, y para texto que contiene contraseñas, alfileres u otros códigos.
«Tal filtro muestra claramente el enfoque de los desarrolladores detrás de Datzbro, no solo utilizando sus capacidades de spyware, sino además convirtiéndolo en una amenaza financiera», dijo Amenazfabric. «Con la ayuda de las capacidades de Keylogging, DatZBro puede capturar con éxito las credenciales de inicio de sesión para aplicaciones de banca móvil ingresadas por víctimas desprevenidas».
Se cree que Datzbro es el trabajo de un familia de amenazas de acento china, dada la presencia de depuraciones chinas y cadenas de registro en el código fuente de malware. Se ha incompatible que las aplicaciones maliciosas están conectadas a un backend de comando y control (C2) que es una aplicación de escritorio en idioma chino, lo que lo hace separado de otras familias de malware que dependen de los paneles C2 basados en la web.
Amenazfabric dijo que una traducción compilada de la aplicación C2 se ha filtrado a una décimo del virus manifiesto, lo que sugiere que el malware puede haberse filtrado y se distribuye autónomamente entre los cibercriminales.
«El descubrimiento de Datzbro destaca la desarrollo de las amenazas móviles dirigidas a usuarios desprevenidos a través de campañas de ingeniería social», dijo la compañía. «Al centrarse en las personas mayores, los estafadores explotan la confianza y las actividades orientadas a la comunidad para atraer a las víctimas a instalar malware. Lo que comienza como una promoción de eventos aparentemente inofensiva en Facebook puede aumentar a la adquisición de dispositivos, el robo de credenciales y el fraude financiero».
La divulgación se produce cuando IBM X-Force detalló una campaña de malware Antidot Android Banking con nombre en código PhantomCall que ha atacado a los usuarios de las principales instituciones financieras a nivel mundial, que zapatilla España, Italia, Francia, Estados Unidos, Canadá, EAU e India, utilizando aplicaciones falsas de Google Chrome Dropper que pueden obtener los controles de Android 13 que impiden aplicaciones accesoradas de la sumario de la sumario de la accesibilidad.
Según un exploración publicado por ProDaft en junio de 2025, Antidot se atribuye a un actor de amenaza de motivación financiera llamamiento LARVA-398 y está adecuado para otros bajo un maniquí de malware como servicio (MAAS) en foros subterráneos.
La última campaña está diseñada para utilizar la API CallScreeningService para monitorear las llamadas entrantes y bloquearlas selectivamente en función de una registro generada dinámicamente de números de teléfono almacenados en las preferencias compartidas del teléfono, permitiendo efectivamente a los atacantes prolongar el acercamiento no calificado, completar transacciones fraudulentas o detección de retrasos.
«PhantomCall además permite a los atacantes iniciar una actividad fraudulenta enviando silenciosamente códigos de USSD para redirigir las llamadas, al tiempo que abusan del servicio de llamadas de Android para cercar las llamadas entrantes legítimas, aislar efectivamente a las víctimas y permitir la suplantación», dijo el investigador de seguridad Ruby Cohen.
«Estas capacidades juegan un papel fundamental en la orquestación de fraude financiero de suspensión impacto al cortar a las víctimas de canales de comunicación reales y permitir a los atacantes hacer en su nombre sin poner sospechas».
