LEGALAUDIT
Cyber Coach

Móvil

Apps bancarias falsas, troyanos APK y perfiles MDM maliciosos

El SMS dice 'actualiza la app para continuar'. El enlace instala un APK fuera de la tienda, o un perfil .mobileconfig en el iPhone.

10 min de lecturaExperto

Señales de alerta a reconocer

  • SMS o WhatsApp que piden instalar una app fuera de la tienda oficial
  • Android: APK que solicita permisos de SMS, accesibilidad, superposición o servicio de accesibilidad
  • Iconos de apps bancarias con nombres similares pero un desarrollador desconocido
  • iOS: solicitud de instalar un perfil MDM o .mobileconfig 'corporativo'
  • Navegador que redirige a 'cdn.<banco>-app.apk.zip'
  • Permisos mucho más amplios de lo necesario (¿SMS, contactos, micrófono para un banco?)
  • App que te pide desactivar Play Protect o Lookout

Qué hacer ahora

  • Instala las apps bancarias solo desde la tienda oficial, verificando el desarrollador
  • Desactiva 'orígenes desconocidos' en Android (Desarrollador -> orígenes inseguros)
  • Nunca instales perfiles MDM en el iPhone solicitados por desconocidos
  • Si se instaló el APK: modo avión, copia de seguridad, restablecimiento de fábrica, restauración selectiva
  • Cambia todas las contraseñas y revoca las sesiones activas desde un dispositivo limpio
  • Audita los servicios de accesibilidad activos: los troyanos bancarios suelen ocultarse ahí
  • En iOS revisa Ajustes -> General -> VPN y gestión de dispositivos

Caso real

Troyano Anatsa vía SMS de correos, Italia 2025

Una campaña a escala nacional envía SMS 'Correos: tu app está desactualizada, descárgala ahora' con un enlace a post-update.tk. El enlace instala Anatsa, un troyano bancario de Android que se hace pasar por un lector de PDF durante la instalación inicial.

Una vez instalado, Anatsa solicita los servicios de accesibilidad para 'leer PDF'. Tras 48 horas inyecta superposiciones falsas sobre la app legítima del banco cuando el usuario la abre, robando credenciales y OTP en tiempo real. Un contable de Padua perdió 14.500 EUR en tres transacciones nocturnas.

Mythos analizó el APK: certificado de firma vinculado a un clúster Anatsa conocido, manifiesto con permisos de accesibilidad y superposición, hash del binario en feeds de threat intel. El dossier vinculó a la víctima con una campaña más amplia con más de 4.200 dispositivos infectados en Italia.

Qué puede hacer Mythos en este caso

  • Análisis estático del APK: manifiesto, permisos, certificado de firma, hashes
  • Comparación del binario con feeds de threat intel (troyanos bancarios conocidos)
  • Verificación del perfil .mobileconfig de iOS: payload, CA, endpoint MDM
  • Extracción de cadenas y descubrimiento del endpoint C2 a partir del binario
  • Dossier técnico para denuncia y apoyo en la restauración del dispositivo

Próximos pasos

Analiza la app con MythosHabla con Mythos