En los últimos meses, ha cobrado fuerza una nueva amenaza para los usuarios de banca móvil en Android: el troyano DoubleTrouble. Este sofisticado malware ha ido perfeccionando sus métodos y ahora utiliza Discord como canal de distribución para infectar a víctimas principalmente en Europa. El propósito del ataque es claro: obtener el control total de los dispositivos móviles y robar credenciales bancarias, contraseñas y cualquier información sensible visualizada o introducida en el terminal.
El equipo de investigación de Zimperium y zLabs ha detectado cambios importantes tanto en la técnica como en la forma de extenderse de DoubleTrouble. Las muestras más recientes de este troyano muestran cómo se aprovecha de comunidades y canales de Discord para camuflar archivos APK maliciosos, haciéndolos pasar por extensiones o apps aparentemente legítimas vinculadas a Google Play. Esta evolución demuestra el carácter flexible del malware, que busca evadir los sistemas de seguridad tradicionales y alcanzar a un mayor número de usuarios.
Cómo infecta DoubleTrouble y cuál es su impacto
La estrategia inicial de DoubleTrouble consiste en hacerse pasar por una app de confianza, utilizando un icono similar al de Google Play para engañar al usuario. Una vez instalada, la aplicación maliciosa solicita permisos de los Servicios de Accesibilidad de Android. Este paso es esencial: al conceder esta autorización, el malware adquiere la capacidad de ejecutar acciones en el dispositivo sin que la víctima se percate.
El troyano emplea un método de instalación por sesiones, manteniendo su carga oculta en la carpeta resources/raw de la APK. Esta técnica complica la labor de los antivirus y dificulta la identificación temprana. Además, los nombres empleados para funciones y clases dentro del código son aleatorios, lo que obstaculiza los análisis de ingeniería inversa.
DoubleTrouble sobresale por su capacidad de capturar la pantalla en tiempo real mediante tecnologías como MediaProjection y VirtualDisplay. Esto habilita a los atacantes a ver, cuadro a cuadro, todo lo que introduce o visualiza el usuario: datos bancarios, contraseñas, códigos de autenticación temporal, claves de monederos de criptomonedas, etc. Los archivos capturados se comprimen y se transmiten como imágenes codificadas a los servidores controlados por los criminales.
Entre las funcionalidades más peligrosas, destacan:
- Superposiciones falsas que imitan pantallas de bloqueo para obtener PINs, patrones o contraseñas de acceso.
- Keylogger que registra cada pulsación y cambio de ventana en el dispositivo.
- Interferencia con apps: puede bloquear el uso de aplicaciones bancarias, de seguridad o cualquier otra, mostrando mensajes falsos de «mantenimiento del sistema».
- Notificaciones y alertas engañosas para incitar a la víctima a introducir información en formularios fraudulentos superpuestos sobre apps reales.
Una vez recolectados, los datos (incluyendo credenciales bancarias, contraseñas de gestores y datos de apps de criptomonedas) son empaquetados con metadatos sobre el dispositivo y enviados a servidores de comando y control (C2).
Control remoto y capacidades avanzadas del malware
DoubleTrouble destaca además por su amplia gama de comandos remotos gestionados desde los servidores C2. Los atacantes pueden simular toques y gestos en la pantalla, manipular configuraciones del sistema, lanzar apps, silenciar el audio, bloquear aplicaciones concretas, e incluso tapar la pantalla con overlays negros o de actualización falsa para enmascarar actividades sospechosas.
El keylogger integrado almacena pulsaciones en archivos específicos como heart_beat.xml, mientras que las apps abiertas o instaladas quedan registradas para facilitar futuros ataques o posteriores exfiltraciones. La interacción con el usuario se manipula con overlays falsos, especialmente en apps críticas, donde el troyano puede superponer formularios de verificación de cuenta para captar datos de acceso directamente sobre la pantalla real.
Gracias a la habilidad para grabar y replicar la pantalla, los cibercriminales pueden incluso eludir sistemas de doble autenticación y verificaciones visuales, ya que ven en tiempo real exactamente lo que observa el usuario.
El código del troyano está además altamente ofuscado para complicar su eliminación y análisis por expertos. Cambios frecuentes, actualizaciones automáticas y variaciones de distribución a través de Discord refuerzan su persistencia y dificultan su retirada una vez instalado.
A juicio de los expertos, la proliferación de campañas como la de DoubleTrouble demuestra hasta qué punto los ciberatacantes evolucionan para sortear las defensas de los sistemas móviles y explotar nuevas plataformas de distribución. El caso de Roblox y malware disfrazado muestra cómo estos ataques pueden aprovechar diferentes canales para expandirse.
Es crucial evitar descargar apps fuera de Google Play, desconfiar de enlaces compartidos por Discord y no conceder permisos de accesibilidad a aplicaciones sospechosas. Mantener actualizado el sistema y utilizar soluciones de seguridad confiables también son medidas imprescindibles para reducir el riesgo de infección.
El avance del troyano DoubleTrouble, especialmente con su actual propagación vía Discord, pone en evidencia la creatividad y persistencia de los ataques dirigidos a la banca móvil en Android. La protección frente a este tipo de amenazas requiere tanto atención técnica como concienciación del usuario sobre los métodos más utilizados por los ciberdelincuentes.
