--[ Anomalía #4 - ¿Avanza el malware para Android en Latinoamérica? ]--

–[ Anomalía #4 - ¿Avanza el malware para Android en Latinoamérica? ]–

En las últimas semanas hemos seguido la aparición de nuevas variantes de malware para Android en la región, especialmente en Brasil y Argentina. Por un lado, campañas de cibercrimen financiero enfocadas en banca y criptomonedas; por el otro, infraestructura asociada a botnets que convierten dispositivos —incluyendo Android TV boxes— en proxies residenciales a través de aplicaciones maliciosas.

Uno de los casos más interesantes, enlazado en Anomalía #3, es PromptSpy. Detectado en Argentina y posiblemente vinculado a China, se distribuye como una app de inversiones. Además de capacidades típicas de control remoto vía VNC, introduce un elemento poco común: el uso de IA generativa para persistencia. Captura el estado de la pantalla y lo envía a Gemini de Google para determinar cómo mantenerse activo sin ser terminado por el sistema. La técnica en sí es simple, pero abre una puerta clara: IA como componente operativo en malware móvil.

En Brasil también se observaron variantes relevantes. El caso de BeatBanker, analizado por SecureList, muestra un ecosistema tipo malware-as-a-service: un mismo implante inicial puede desplegar módulos distintos —robo bancario, credenciales, minería o acceso remoto completo— según el objetivo. Se distribuye a través de páginas falsas de servicios públicos y destaca por un detalle curioso: utiliza audio inaudible para evitar que el sistema cierre la aplicación, otro ejemplo de creatividad en persistencia.

Otro caso es PixRevolution, centrado en fraude bancario. Abusa de servicios de accesibilidad, pero introduce un componente operativo adicional: requiere supervisión activa. Cuando detecta el uso de apps bancarias, el implante consulta a su C2 para recibir instrucciones específicas en tiempo real y manipular la interfaz sin que el usuario lo note. No hay lógica fija para Pix; hay adaptación dinámica. La hipótesis de un operador —humano o automatizado— no está confirmada, pero encaja con el comportamiento observado.

Más allá de estos casos, persiste un problema estructural en la región: la cadena de suministro de dispositivos Android de bajo costo. Históricamente asociados a fraude publicitario, estos dispositivos ahora alimentan otro mercado: proxies residenciales. Redes construidas a partir de dispositivos comprometidos que permiten a terceros enmascarar tráfico desde conexiones domésticas. Esto no se queda en el teléfono: el acceso se extiende a redes locales donde aparecen otros dispositivos vulnerables, como Android TV boxes con ADB expuesto, que terminan integrándose en botnets para DDoS. Investigaciones como Katana y Kimwolf muestran bien estas capas.

Como cierre, aunque el spyware para Android dirigido a sociedad civil en la región sigue siendo menos visible, este ecosistema de malware tiene impacto real en procesos sociales y técnicos. Además, las fronteras se difuminan: herramientas, técnicas y hasta exploits circulan entre actores criminales, comerciales y otros. Lo que hoy parece “solo fraude” puede escalar rápidamente. Conviene mirar todo el panorama.

Esperamos que disfruten esta edición de Anomalía. Como siempre, comentarios y aportes son bienvenidos. 💚

–[ Investigación y herramientas ]–

Virtualizar iPhone — experimentación en iOS fuera del dispositivo

El proyecto super-tart-vphone guide explora la posibilidad de virtualizar entornos cercanos a iOS sobre infraestructuras basadas en virtualización nativa de Apple, un espacio históricamente restringido frente a Android. Aunque no se trata de una virtualización completa de iPhone como dispositivo físico, sí apunta a aislar y reproducir componentes del entorno para pruebas y análisis. Si este tipo de aproximaciones madura, podría reducir la dependencia de hardware real y abrir flujos más reproducibles para investigación en iOS, un terreno que sigue siendo costoso y limitado en acceso. Aún no lo hemos probado, pero está en la lista: volveremos con resultados.

–[ Malware en la región ]–

Brasil- BeatBanker — banca + minería en un mismo implante móvil

El análisis de Kaspersky sobre BeatBanker describe un malware Android enfocado en Brasil que combina robo financiero con cryptomining en el mismo flujo de infección, distribuido a través de sitios que imitan Google Play y apps gubernamentales. Más allá del combo de monetización, destacan detalles operativos: carga de payloads en memoria para evadir detección, persistencia mediante reproducción de audio casi inaudible para evitar que el sistema mate el proceso, y uso de overlays para interceptar transacciones (incluyendo reemplazo de direcciones en cripto wallets). En muestras más recientes, el módulo bancario es reemplazado por un RAT (BTMOB), sugiriendo una transición hacia modelos más flexibles de acceso remoto y MaaS.

Infostealers — menos volumen, más sofisticación en la región

El repaso de ESET sobre actividad de infostealers muestra un cambio interesante: aunque las detecciones globales bajaron, la sofisticación aumentó, en parte por el uso de IA y modelos más flexibles. En América Latina, el foco se mantiene, con México concentrando picos masivos de campañas (Lumma Stealer) y Brasil emergiendo como terreno de pruebas para amenazas híbridas que combinan spyware y robo financiero (incluyendo técnicas vía NFC). Familias como Formbook, Lumma o Agent Tesla siguen marcando el ritmo, pero el trasfondo es otro: el acceso a este tipo de malware es cada vez más fácil, lo que amplía el número de actores y diluye la barrera técnica de entrada.

LATAM — patrones compartidos de malware

El mapa de ESET sobre malware en América Latina muestra reutilización de campañas y tooling entre países como Perú, México, Brasil, Argentina y Colombia. Más que nuevas amenazas, se observa circulación regional de las mismas familias (phishing, loaders y troyanos bancarios), con campañas que se replican y adaptan según el contexto local.

–[ Actividad Maliciosa ]–

UAT-9244 — targeting a telecoms en Sudamérica

Cisco Talos describe a UAT-9244 como un actor vinculado a China que desde 2024 ha comprometido infraestructura de telecomunicaciones en Sudamérica, desplegando tres implantes: TernDoor (Windows), PeerTime (Linux, con C2 vía BitTorrent) y BruteEntry (fuerza bruta desde dispositivos edge convertidos en nodos de escaneo). Más que el tooling individual, destaca la combinación: acceso persistente en endpoints, movimiento lateral en sistemas embebidos y uso de infraestructura comprometida para ampliar superficie de ataque. El targeting es consistente y de largo plazo, con foco en proveedores de telecomunicaciones.

LATAM — más ataques, distinto vector

Datos recientes muestran que América Latina enfrenta hasta el doble de ciberataques que EE. UU., con mayor presencia de ransomware, infostealers, malware bancario y botnets. A diferencia de EE. UU., donde los ataques llegan principalmente vía web, en la región domina el correo electrónico (≈74%), especialmente campañas de phishing que suplantan bancos, pagos o entidades públicas. Más que volumen, el diferencial está en el vector: menos explotación técnica compleja, más ingeniería social efectiva y sostenida.

–[ Hacktivismo ]–

Brasil - P4R4ZYT3 / DEFCOMX64 — de brechas a discurso

El alias P4R4ZYT3, vinculado a DEFCOMX64, conecta una brecha (~8.6 GB) contra una entidad pública en Brasil con actividad en foros, defacements y Telegram. Lo interesante es el cambio de tono: de publicar bases de datos y moverse en circuitos más cercanos a lo criminal, a construir presencia, reaparecer tras caídas y empezar a anunciar acciones contra objetivos estatales. Telegram pasa de canal secundario a espacio de señalización, con mensajes más declarativos y menos orientados a la filtración puntual.

–[ Info/Psy OPs ]–

Meta interviene redes de reclutamiento y desinformación de carteles de droga latinoamericanos.

El Adversarial Threat Report de Meta para la primera mitad de 2026 recoge la intervención de cuentas vinculadas a cárteles de drogas en América Latina, utilizadas para reclutamiento y campañas de desinformación. El caso, retomado en la editorial de RiskyBiz, muestra cómo estas estructuras también operan en plataformas digitales con lógicas propias de influencia y expansión.

Ecuador — la FPSC denuncia agresiones contra periodistas y medios

La Fundación Periodistas Sin Cadenas (FPSC) denuncia ataques digitales coordinados en regiones específicas, como la Amazonía ecuatoriana, orientados a silenciar denuncias de medios y periodistas locales. Estas acciones incluyen reportes masivos, campañas de bots y trolls, e incluso amenazas directas, con el objetivo de controlar el discurso en contextos altamente localizados. Esto dificulta aún más que las voces de la sociedad civil en estas regiones sean escuchadas y amplificadas. Resulta interesante observar cómo evolucionan estas dinámicas y si los tipos de ataque cambian con el tiempo.

–[ Leaks ]–

Colombia — DNI vincula filtración de la DIAN con escenario electoral

La Dirección Nacional de Inteligencia señaló que la filtración de datos asociados a la DIAN (reportada en Anomalía #3) podría estar vinculada a un intento de manipulación en el contexto electoral. Sin embargo, no se han hecho públicos detalles técnicos que expliquen cómo una base de datos de este tipo se integraría en un escenario de manipulación electoral. Este tipo de filtraciones suele aparecer más asociado a dinámicas como phishing, fraude, suplantación o venta de accesos, y se suma a una lista cada vez más larga de exposiciones recientes en Colombia y otros países de la región. La lectura en clave electoral aparece sin mayor sustento técnico, mientras los impactos más inmediatos ya se están viendo en circulación.  

NyxarGroup — actor activo en Colombia con foco en entidades públicas y el sector salud

NyxarGroup ha estado vinculado en las últimas semanas a múltiples incidentes en Colombia con foco en entidades de gobierno, hospitales, universidades e instituciones públicas. El actor aprovecha servicios expuestos para obtener acceso inicial (RCE o shells) y luego realiza exfiltración de bases de datos (SQL dumps), en varios casos sobre sistemas con información sensible como estado de salud y demás.

–[ ZOLIM - El snapshot de esta semana (18/03/2026) ]–

El snapshot más reciente de ZOLIM muestra un cambio menos visible pero más relevante que el crecimiento: la infraestructura no solo aumentó a 116 IPs, sino que permanece activa: las 104 IPs del snapshot anterior siguen arriba, sin rotación significativa.

Acá algunas señales que nos llamaron la atención de esta semana:

• GoPhish se mantiene como el framework dominante con 66 nodos y ya opera como infraestructura base en LATAM. El uso repetido del puerto 3333 (34 IPs) y su presencia en múltiples países muestran configuraciones simples que se mantienen repetidas entre snapshots.

• Sliver pasa de 10 a 12 nodos y aparece en nuevos ASNs y países. En paralelo, un nodo que antes combinaba Sliver y UnamWebPanel ahora mantiene solo Sliver, y UnamWebPanel deja de aparecer en el snapshot.

• En Colombia el número de nodos pasa de 9 a 13. En Barranquilla (AS27831), un nodo que antes combinaba DCRat y AsyncRAT ahora mantiene solo AsyncRAT, marcando un cambio en la configuración de esa infraestructura. Al mismo tiempo, aparecen nuevos nodos en Bogotá, Bucaramanga y Cota.

• Honduras vuelve a aparecer en el radar, esta vez no solo con Quasar sino con Hack5 Cloud C2.

La infraestructura sigue desplegada sobre cloud comercial y proveedores regionales (Oracle, Amazon, Microsoft, telecoms locales), con presencia repetida entre snapshots.

En ZOLIM puedes explorar el snapshot completo y la tabla donde publicamos todas las IPs activas por país si quieres profundizar en los datos :D

https://zoquelabs.xyz/zolim