{"id":198,"date":"2026-04-20T22:54:11","date_gmt":"2026-04-20T22:54:11","guid":{"rendered":"https:\/\/cybertica.cr\/?p=198"},"modified":"2026-04-20T22:54:11","modified_gmt":"2026-04-20T22:54:11","slug":"un-malware-para-android-se-hace-pasar-por-la-app-de-starlink-para-infectar-smartphones","status":"publish","type":"post","link":"https:\/\/cybertica.cr\/?p=198","title":{"rendered":"Un malware para Android se hace pasar por la app de Starlink para infectar smartphones"},"content":{"rendered":"
\n

El equipo Global Research and Analysis Team (GReAT) de Kaspersky<\/strong> ha descubierto una nueva campa\u00f1a de malware para Android en la que los ciberdelincuentes distribuyen el troyano BeatBanker haci\u00e9ndolo pasar por una aplicaci\u00f3n de Starlink. Aunque los atacantes est\u00e1n dirigiendo principalmente la campa\u00f1a a usuarios en Brasil, los expertos no descartan que tambi\u00e9n pueda afectar a v\u00edctimas en otros pa\u00edses. Una vez instalado, el malware puede utilizar el dispositivo para minar criptomonedas y, adem\u00e1s, instalar herramientas que permiten a los atacantes controlar el tel\u00e9fono de forma remota.<\/p>\n

Los analistas de Kaspersky han observado inicialmente que BeatBanker se distribu\u00eda camuflado como una aplicaci\u00f3n de servicios p\u00fablicos y que inclu\u00eda un troyano bancario junto con un minero de criptomonedas. Sin embargo, en esta nueva campa\u00f1a se ha identificado una variante del malware que sustituye el m\u00f3dulo bancario por BTMOB, una herramienta de administraci\u00f3n remota (RAT) que permite a los ciberdelincuentes tomar el control completo del dispositivo infectado.<\/p>\n

\u201cAl principio observamos BeatBanker distribuido bajo la apariencia de una aplicaci\u00f3n de servicios p\u00fablicos, que instalaba un troyano bancario junto con un minero de criptomonedas. Sin embargo, nuestras \u00faltimas investigaciones han identificado una nueva campa\u00f1a que utiliza otra variante de BeatBanker, que despliega el RAT BTMOB en lugar del m\u00f3dulo bancario. Los atacantes parecen estar utilizando ahora el se\u00f1uelo de una aplicaci\u00f3n de Starlink para llegar a m\u00e1s v\u00edctimas en distintos pa\u00edses. Por ello, es fundamental que los usuarios se mantengan alerta y utilicen soluciones de seguridad avanzadas para proteger sus smartphones\u201d,<\/em> explica Fabio Assolini, responsable de las unidades de Am\u00e9rica y Europa en Kaspersky GReAT.<\/strong><\/p>\n

C\u00f3mo se distribuye el malware<\/strong><\/h2>\n

Los expertos creen que los ciberdelincuentes distribuyen una aplicaci\u00f3n falsa de Starlink a trav\u00e9s de p\u00e1ginas de phishing que imitan el aspecto de Google Play. Una vez que la v\u00edctima instala la aplicaci\u00f3n, el malware muestra una interfaz que tambi\u00e9n simula la tienda oficial de aplicaciones y solicita permisos de instalaci\u00f3n adicionales.<\/p>\n

Si el usuario concede estos permisos, el malware puede descargar y ejecutar otros componentes maliciosos sin que la v\u00edctima lo perciba.<\/p>\n

Miner\u00eda de criptomonedas y control remoto del dispositivo<\/strong><\/h2>\n

Cuando la v\u00edctima pulsa el bot\u00f3n de actualizaci\u00f3n dentro de la interfaz falsa, el malware despliega un minero de criptomonedas Monero que utiliza los recursos del dispositivo infectado. BeatBanker supervisa factores como la temperatura del tel\u00e9fono, el nivel de bater\u00eda o la actividad del usuario para activar o detener el proceso de miner\u00eda sin levantar sospechas.<\/p>\n

Adem\u00e1s, el malware instala el RAT BTMOB, una herramienta que se comercializa como Malware-as-a-Service y que permite a los ciberdelincuentes controlar el dispositivo de forma remota<\/strong>. Entre sus funcionalidades se incluyen la concesi\u00f3n autom\u00e1tica de permisos, el ocultamiento de notificaciones del sistema y la captura de credenciales de desbloqueo del dispositivo, como PIN, patrones o contrase\u00f1as.<\/p>\n

El malware tambi\u00e9n puede acceder a las c\u00e1maras del tel\u00e9fono, monitorizar la ubicaci\u00f3n GPS y recopilar informaci\u00f3n sensible de forma continua<\/strong>.<\/p>\n

Para evitar ser eliminado, BeatBanker utiliza un mecanismo poco habitual que consiste en mantener una notificaci\u00f3n fija activa y reproducir en segundo plano un archivo de audio pr\u00e1cticamente inaudible<\/strong>, lo que impide que el sistema operativo cierre el proceso malicioso.<\/p>\n

Las soluciones de seguridad de Kaspersky detectan esta amenaza como HEUR:Trojan-Dropper.AndroidOS.BeatBanker<\/strong> y HEUR:Trojan-Dropper.AndroidOS.Banker.*<\/strong>.<\/p>\n

C\u00f3mo protegerse frente a amenazas m\u00f3viles<\/strong><\/h4>\n