{"id":31921,"date":"2026-03-16T11:27:31","date_gmt":"2026-03-16T09:27:31","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=31921"},"modified":"2026-03-16T11:27:31","modified_gmt":"2026-03-16T09:27:31","slug":"beatbanker-btmob-android-malware-disguised-starlink-inss-reembolso","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/beatbanker-btmob-android-malware-disguised-starlink-inss-reembolso\/31921\/","title":{"rendered":"Troyano para Android que se hace pasar por servicios gubernamentales y aplicaciones de Starlink"},"content":{"rendered":"

Para lograr sus objetivos maliciosos, los desarrolladores de malware para Android deben superar varios desaf\u00edos consecutivos: enga\u00f1ar a los usuarios para acceder a sus tel\u00e9fonos inteligentes, eludir el software de seguridad, convencer a las v\u00edctimas para que concedan diversos permisos del sistema, mantenerse alejados de los optimizadores de bater\u00eda integrados que eliminan los programas que consumen muchos recursos y, despu\u00e9s de todo eso, asegurarse de que su malware realmente genere ganancias.<\/p>\n

Los creadores de BeatBanker, una campa\u00f1a de malware para Android\u2011 descubierta recientemente por nuestros expertos, han ideado algo nuevo para cada uno de estos pasos. El ataque est\u00e1 dirigido (por ahora) a los usuarios brasile\u00f1os, pero las ambiciones de los desarrolladores seguramente los impulsar\u00e1n hacia la expansi\u00f3n internacional, por lo que vale la pena estar alerta y estudiar los trucos de los autores de la amenaza. Puedes encontrar un an\u00e1lisis t\u00e9cnico completo del malware en Securelist<\/a>.<\/p>\n

C\u00f3mo se infiltra BeatBanker en un tel\u00e9fono inteligente<\/h2>\n

El malware se distribuye a trav\u00e9s de p\u00e1ginas de phishing especialmente dise\u00f1adas que imitan a Google Play Store. Una p\u00e1gina que se confunde f\u00e1cilmente con el marketplace oficial de aplicaciones invita a los usuarios a descargar una aplicaci\u00f3n aparentemente \u00fatil. En una campa\u00f1a, el troyano se disfraz\u00f3 de la aplicaci\u00f3n de servicios de las autoridades gubernamentales brasile\u00f1as, INSS Reembolso; en otra, se hizo pasar por la aplicaci\u00f3n Starlink.<\/p>\n

\"El<\/a>

El sitio malicioso cupomgratisfood{.}shop hace un excelente trabajo imitando una tienda de aplicaciones. No est\u00e1 claro por qu\u00e9 aparece tres veces el falso INSS Reembolso. \u00bfPara estar m\u00e1s seguro, tal vez?<\/p><\/div>\n

La instalaci\u00f3n se lleva a cabo en varias etapas para evitar solicitar demasiados permisos a la vez y para adormecer a\u00fan m\u00e1s la vigilancia de la v\u00edctima. Despu\u00e9s de descargar e iniciar la primera aplicaci\u00f3n, se muestra una interfaz que tambi\u00e9n se asemeja a Google Play y simula una actualizaci\u00f3n de la aplicaci\u00f3n se\u00f1uelo en la que le solicita permiso al usuario para instalar aplicaciones, lo que no parece fuera de lo com\u00fan en este contexto. Si concedes este permiso, el malware descarga m\u00f3dulos maliciosos adicionales al tel\u00e9fono inteligente.<\/p>\n

\"Despu\u00e9s<\/a>

Despu\u00e9s de la instalaci\u00f3n, el troyano simula una actualizaci\u00f3n de la aplicaci\u00f3n se\u00f1uelo a trav\u00e9s de Google Play solicitando permiso para instalar aplicaciones mientras descarga m\u00f3dulos maliciosos adicionales en el proceso.<\/p><\/div>\n

Todos los componentes del troyano est\u00e1n cifrados. Antes de descifrar y pasar a las siguientes etapas de la infecci\u00f3n, comprueba que se encuentra en un tel\u00e9fono inteligente real y en el pa\u00eds de destino. BeatBanker finaliza inmediatamente su propio proceso si encuentra alguna discrepancia o detecta que se est\u00e1 ejecutando en entornos emulados o de an\u00e1lisis. Esto complica el an\u00e1lisis din\u00e1mico del malware. Por cierto, el descargador de actualizaciones falsas inyecta m\u00f3dulos directamente en la memoria RAM para evitar crear archivos en el tel\u00e9fono inteligente que ser\u00edan visibles para el software de seguridad.<\/p>\n

Todos estos trucos no son nada nuevo y se utilizan con frecuencia en malware complejo para ordenadores de sobremesa. Sin embargo, para los tel\u00e9fonos inteligentes, tal sofisticaci\u00f3n sigue siendo una rareza, y no todas las herramientas de seguridad la detectar\u00e1n. Los usuarios de los productos de Kaspersky<\/a> cuentan con protecci\u00f3n contra esta amenaza.<\/p>\n

Reproducci\u00f3n de audio como escudo<\/h2>\n

Una vez establecido en el tel\u00e9fono inteligente, BeatBanker descarga un m\u00f3dulo para minar la criptomoneda Monero. A los autores, les preocupaba mucho que los agresivos sistemas de optimizaci\u00f3n de la bater\u00eda del tel\u00e9fono inteligente pudieran apagar el minero, por lo que idearon un truco: reproducir un sonido casi inaudible en todo momento. Los sistemas de control de consumo de energ\u00eda suelen excluir las aplicaciones que reproducen audio o v\u00eddeo para evitar que se corte la m\u00fasica de fondo o los reproductores de podcasts. De esta forma, el malware puede ejecutarse de forma continua. Adem\u00e1s, muestra una notificaci\u00f3n persistente en la barra de estado, en la que se le solicita al usuario que mantenga el tel\u00e9fono encendido para realizar una actualizaci\u00f3n del sistema.<\/p>\n

\"Ejemplo<\/a>

Ejemplo de una notificaci\u00f3n de actualizaci\u00f3n del sistema persistente de otra aplicaci\u00f3n maliciosa que se hace pasar por la aplicaci\u00f3n Starlink<\/p><\/div>\n

Control a trav\u00e9s de Google<\/h2>\n

Para administrar el troyano, los autores aprovechan el leg\u00edtimo Firebase Cloud Messaging (FCM) de Google, un sistema para recibir notificaciones y enviar datos desde un tel\u00e9fono inteligente. Esta funci\u00f3n est\u00e1 disponible para todas las aplicaciones y es el m\u00e9todo m\u00e1s popular para enviar y recibir datos. Gracias a FCM, los atacantes pueden supervisar el estado del dispositivo y cambiar su configuraci\u00f3n seg\u00fan sea necesario.<\/p>\n

No pasa nada malo durante un tiempo despu\u00e9s de instalar el malware: los atacantes esperan a que pase el tiempo. Luego, activan el minero, pero tienen cuidado de desacelerarlo si el tel\u00e9fono se sobrecalienta, la bater\u00eda comienza a agotarse o el propietario est\u00e1 usando el dispositivo. Todo esto se administra a trav\u00e9s de FCM.<\/p>\n

Robo y espionaje<\/h2>\n

Adem\u00e1s del minero de criptomonedas, BeatBanker instala m\u00f3dulos adicionales para espiar al usuario y robarle en el momento oportuno. El m\u00f3dulo de spyware solicita permiso a los Servicios de accesibilidad y, si se le concede, comienza a supervisar todo lo que ocurre en el tel\u00e9fono inteligente.<\/p>\n

Si el propietario abre la aplicaci\u00f3n Binance o Trust Wallet para enviar USDT, el malware superpone una pantalla falsa sobre la interfaz de la cartera para sustituir eficazmente la direcci\u00f3n del destinatario por la suya propia. Todas las transferencias van a los atacantes.<\/p>\n

El troyano cuenta con un sistema de control remoto avanzado y es capaz de ejecutar muchos otros comandos:<\/p>\n