Lo + Nuevo
Tag

IPTV

Browsing

Nueva amenaza en Android: “Klopatra”, el troyano bancario que hace más que vaciar cuentas

Un malware recién descubierto, bautizado como Klopatra, está causando dolores de cabeza en España y otros países. Se trata de una amenaza bastante avanzada que combina funciones de troyano bancario con capacidades de acceso remoto (RAT), algo así como regalarle las llaves de tu móvil a un desconocido… y encima dejarle café.

Esta nueva amenaza cibernética, que afecta a dispositivos Android, usa como puerta de entrada aplicaciones IPTV usadas para ver fútbol pirata
Esta nueva amenaza cibernética, que afecta a dispositivos Android, usa como puerta de entrada aplicaciones IPTV usadas para ver fútbol pirata

Según un informe reciente de Cleafy, más de 3.000 dispositivos ya han sido comprometidos, principalmente en España e Italia.


Un malware con aspiraciones profesionales

Lo que más preocupa a los expertos no es solo lo que roba, sino cómo lo hace. Klopatra viene equipado con técnicas modernas para esquivar antivirus y pasar desapercibido, mientras realiza operaciones financieras por su cuenta. Básicamente, trabaja solo… ojalá así fueran los compañeros del trabajo.

Este bicho no solo roba credenciales bancarias: también permite a los atacantes tomar el control total del móvil infectado y ejecutar transferencias sin que el usuario se entere.


¿La puerta de entrada? Apps pirata de IPTV (sí, para ver el fútbol)

Klopatra se distribuye sobre todo en aplicaciones falsas de IPTV, muchas de ellas dirigidas a quienes buscan ver partidos de pago “gratis”. Porque claro, ¿qué puede salir mal descargando una app de fútbol de un sitio raro con anuncios de casinos? Exacto: tu cuenta bancaria.

Muchas de estas apps vienen de fuentes externas a Google Play y esconden el malware dentro, activándose al instalarlas.

Una de las cebos detectados:
Mobdro Pro IP TV + VPN, que suena útil… hasta que te vacían la cuenta mientras tú ves el partido.


El truco está en los permisos

Una vez instalada la app, Klopatra pide acceso a los Servicios de Accesibilidad de Android. Esa función existe para ayudar a personas con dificultades, pero los atacantes la usan para:

  • Ver tu pantalla en tiempo real
  • Registrar pulsaciones (keylogger style)
  • Controlar el dispositivo a distancia
  • Hacer movimientos bancarios sin que lo notes

Y por si fuera poco, muchas de estas operaciones se realizan de madrugada, cuando el móvil está cargando y tú estás soñando con Messi.


Superposición de pantalla y ataques silenciosos

Gracias a técnicas de overlay y control remoto, los atacantes logran completar transferencias bancarias y otras acciones financieras sin que el usuario intervenga o siquiera se despierte.


Tecnología avanzada: Virbox + código nativo

Aquí es donde Klopatra se pone en modo ninja tecnológico.

  • Utiliza Virbox, un sistema comercial de protección que hace que muchas soluciones antivirus ni lo huelan.
  • En vez de usar código Java como la mayoría de apps Android, mezcla librerías nativas, lo que complica su detección y análisis.

Esto indica que los desarrolladores no son amateurs con WiFi robado, sino un grupo organizado que invierte tiempo y recursos para que el malware dure… más que tu suscripción a Netflix.


¿Quién está detrás?

El análisis del código y servidores C2 apunta a un grupo criminal de habla turca. Además, todo indica que no ofrecen Klopatra como servicio (nada de Malware-as-a-Service), sino que es un proyecto cerrado y privado, manejado por pocos individuos con bastante experiencia.


España e Italia en la mira

Cleafy ha identificado dos botnets activas:

  • Una en España con unos 1.000 dispositivos infectados
  • Otra en Italia con más de 450 víctimas

Aunque por ahora el ataque está centrado ahí, nada impide que se expanda a otros países. Si la campaña tiene éxito, lo más probable es que lo hagan “internacional”, como las giras de Bad Bunny.


Una nueva generación de malware móvil

Klopatra representa un salto importante en la evolución del malware para Android, especialmente en el escenario de la banca móvil y las apps pirata tipo IPTV.

Este caso demuestra que el cibercrimen se está profesionalizando, mientras muchos usuarios siguen instalando apps desde enlaces compartidos por “el primo que sabe”.

Para los bancos, esto deja claro que ya no basta con detectar firmas de malware: necesitan observar comportamiento, accesos y patrones extraños.

Antes de Klopatra ya atacaban: los casos de TeaBot, FluBot y Joker

1. TeaBot (Anatsa) – Malware bancario disfrazado de apps de streaming e IPTV

Cómo se propagaba:
Se hacía pasar por aplicaciones aparentemente inocentes como reproductores de vídeo, gestores de archivos o apps para ver fútbol gratis. Varias versiones incluían nombres como “IPTV Player 2023”, “Ultima Football Live” o supuestas apps de VPN y streaming.

TeaBot – Análisis estático
Del archivo AndroidManifest se extrajeron los siguientes indicadores:

Abusar de los Servicios de Accesibilidad de Android.

Inicialmente, el nombre de la aplicación usado por la app maliciosa era “TeaTV”; sin embargo, durante el último mes el nombre de la app se cambió a “VLC MediaPlayer”, “Mobdro”, “DHL”, “UPS” y “bpost”, el mismo cebo usado por el famoso malware bancario Flubot/Cabassous.

Los principales permisos que obtiene TeaBot permiten:

Enviar / interceptar mensajes SMS.

Leer la libreta de contactos y el estado del teléfono.

Usar las modalidades biométricas compatibles del dispositivo.

Modificar la configuración de audio (p. ej., silenciar el dispositivo).

Mostrar una ventana emergente sobre todas las demás apps (utilizada durante la fase de instalación para forzar al usuario a aceptar los permisos del servicio de accesibilidad).

Eliminar una aplicación instalada.

Impacto:

  • Infectó miles de dispositivos en España, Italia, Francia y Latinoamérica.
  • Robaba credenciales bancarias mediante pantallas superpuestas (overlay) que imitaban apps oficiales.
  • Interceptaba SMS para saltarse la autenticación en dos pasos, incluso en apps financieras.
  • Los atacantes podían tomar control del dispositivo y completar transacciones.

Ejemplo real:
La app falsa IPTV Player 2023 fue una de las más descargadas antes de ser retirada de varias tiendas alternativas.


2. FluBot – De SMS fraudulentos a apps IPTV falsas

Cómo se propagaba:
Su primera ola llegó mediante mensajes SMS falsos (“tienes un paquete pendiente” estilo FedEx o DHL), pero con el tiempo mutó: empezó a camuflarse como apps de entretenimiento e IPTV pirateado descargables desde enlaces externos y repositorios no oficiales.

Impacto:

  • Más de 60.000 dispositivos infectados en España en 2022, según el INCIBE.
  • Robaba credenciales bancarias, contactos y podía enviar SMS automáticos para expandirse.
  • Permitía generar botnets móviles para coordinar fraudes masivos.

Motivo de su éxito:
Muchos usuarios creían que instalaban apps de televisión, fútbol o contenido premium gratuito.


3. Joker (también conocido como Bread) – Suscripciones fantasma desde apps falsas

Cómo operaba:
Este malware se infiltraba en apps de vídeo, wallpapers, reproductores multimedia e incluso IPTV. Durante años logró colarse en Google Play bajo diferentes nombres.

Qué hacía:

  • Inscribía a las víctimas en servicios premium sin autorización.
  • Robaba SMS, listas de contactos y datos del dispositivo.
  • Muchos usuarios solo se daban cuenta cuando veían cargos móviles desconocidos.

Apps donde se detectó:
Se han encontrado más de 1.700 aplicaciones infectadas con Joker en Google Play a lo largo del tiempo, según análisis de Zimperium y Check Point. Ejemplos frecuentes:

  • “Live TV HD”
  • “Ultra Wallpaper 4K”
  • “StreamCast Player”
  • “Mobdro Live IPTV”

Presencia global:
Afectó a usuarios en Europa, Latinoamérica y Asia.

Cómo proteger tu móvil (y tu cuenta)

Algunas recomendaciones básicas pero efectivas:

  • No instales apps desde fuera de Google Play, especialmente si prometen fútbol gratis, películas o milagros digitales.
  • Evita activar “Orígenes desconocidos” salvo casos muy específicos y confiables.
  • Revisa qué permisos pide cada aplicación antes de aceptarlos. Si una app para ver TV pide accesibilidad… sospecha.
  • Mantén tu Android actualizado. Las actualizaciones no son decoración.
  • Usa una solución de seguridad móvil con detección de comportamientos anómalos.
  • Activa notificaciones bancarias para detectar movimientos raros al instante (o antes de que el hacker pague su kebab con tu tarjeta).

Donaciones y Apoyo

Fuente (s) :

Puedes escuchar la noticia dando click aquí 🙂

Polícia de España desarticula red contenidos pirata con 500 mil usuarios y 3M€ beneficios anuales

Agentes de la Policía Nacional, en una operación conjunta con EUROPOL, han desarticulado una red criminal que presuntamente distribuía contenidos audiovisuales de forma ilegal a más de 500.000 usuarios en varios países europeos. Los cuatro arrestados operaban desde Málaga y se valían de varias páginas web para publicitar paquetes de suscripción compuestos por más de 2.600 canales de televisión y 23.000 películas y series; además, contaban con más de 95 revendedores ubicados en España, Reino Unido, Malta, Portugal, Chipre y Grecia.

Desarticulada una red criminal que distribuía contenidos audiovisuales de forma ilegal a más de 500.000 usuarios en varios países europeos

  • Los cuatro arrestados operaban desde Málaga y se valían de varias páginas web para publicitar paquetes de suscripción compuestos por más de 2.600 canales de televisión y 23.000 películas y series; además, contaban con más de 95 revendedores ubicados en España, Reino Unido, Malta, Portugal, Chipre y Grecia
  • Los beneficios obtenidos, que ascendían a unos tres millones de euros anuales, eran blanqueados por la organización adquiriendo bienes muebles e inmuebles en la provincia de Málaga y desviando fondos a través de sociedades españolas a cuentas bancarias ubicadas en paraísos fiscales
  • Durante los registros, los agentes desconectaron 10 paneles de administración -conectados a 32 servidores ubicados en Francia, Países Bajos y España- donde se alojaban los contenidos ilegales de televisión, e intervinieron material informático, 2.800 euros en efectivo y dos vehículos de alta gama valorados en 180.000 euros

Los beneficios obtenidos, que ascendían a unos tres millones de euros anuales, eran blanqueados por la organización adquiriendo bienes muebles e inmuebles en la provincia de Málaga y desviando fondos a través de sociedades españolas a cuentas bancarias ubicadas en paraísos fiscales. Durante los registros, los agentes desconectaron 10 paneles de administración -conectados a 32 servidores ubicados en Francia, Países Bajos y España- donde se alojaban los contenidos ilegales de televisión, e intervinieron material informático, 2.800 euros en efectivo y dos vehículos de alta gama valorados en 180.000 euros.

La investigación se inició en el año 2020 gracias a una denuncia presentada por los responsables de Alliance for Creativity and Entertainment, una coalición de empresas cuya finalidad es combatir la piratería online. Las primeras gestiones policiales permitieron constatar la existencia de una organización que, desde el año 2012, estaría comercializando y distribuyendo de forma masiva y fraudulenta -a través de distintas sociedades- contenidos audiovisuales de diferentes plataformas televisivas de acceso condicionado a pago. Concretamente, ofertaban a sus clientes diferentes paquetes de suscripción compuestos por más de 2.600 canales de televisión y 23.000 películas y series.

Contaban con más de 95 revendedores en diferentes países europeos y blanqueaban beneficios de 3.000.000 de euros anuales

Los investigados se valían de varias páginas web para publicitar la promoción y venta de suscripciones de listados ordenados de canales de televisión y descodificadores que, a través de unas claves y contraseñas, permitían visionar los canales y contenidos pertenecientes a diferentes plataformas de televisión de pago.

Además, la organización contaba con más de 95 revendedores (resellers) ubicados en Reino Unido, Malta, Portugal, Chipre y Grecia. Estos compraban grandes paquetes de suscripciones de forma piramidal a la organización para posteriormente revenderlos en sus países a miles de usuarios.

Por otra parte, los beneficios obtenidos -que ascendían a unos 3.000.000 de euros anuales- los blanqueaban, por un lado, moviendo los fondos procedentes de los pagos de las suscripciones desde sociedades españolas hacia distintas cuentas bancarias a nombre de empresas ubicadas en paraísos fiscales gestionadas por los investigados; y por otro, mediante la compraventa de viviendas y vehículos de lujo o constituyendo nuevas sociedades para amparar la actividad delictiva.

Se han desconectado 10 paneles de administración conectados a 32 servidores ubicados en Francia, Países Bajos y España

Durante los registros, los agentes accedieron a 10 paneles de administración conectados a 32 servidores ubicados en Francia, Países Bajos y España donde se alojaban los contenidos ilegales de televisión a través de los que la organización ofrecía el servicio. Tras proceder a su desconexión se dejó sin servicio tanto a los revendedores como a los usuarios finales.

Asimismo, la investigación ha permitido bloquear ocho cuentas bancarias e intervenir numeroso material informático, documentación, 2.800 euros en efectivo y dos vehículos de alta gama valorados en 180.000 euros. La operación ha finalizado con cuatro detenidos en los municipios malagueños de Benahavís (2), Mijas (una persona detenida y otra investigada) y Benalmádena (1), si bien continúan las gestiones para identificar a más posibles implicados relacionados con la organización en otros países.

Polícia Italiana crea servicio IPTV falso para poder multar a los usuarios

La policía “llevó a cabo la redirección de todas las conexiones nacionales de los proveedores de servicios de Internet” para que los suscriptores se registraran y realizaran el proceso de compra en un servidor controlado por la policía y configurado para registrar su actividad.

En mayo de 2022, la policía italiana afirmó que miles de personas se habían suscrito sin darse cuenta a un servicio pirata de IPTV que estaba siendo monitoreado por las autoridades. Cuando los usuarios intentaban acceder a transmisiones ilegales, un mensaje de advertencia decía que ya habían sido rastreados. Ahora que las multas se reciben por correo, la policía está haciendo algunas afirmaciones extraordinarias sobre cómo fue posible.
 

  • La policía italiana rastreó el tráfico de todos los ISP nacionales para atrapar a los usuarios piratas de IPTV

Así, se pudieron “rastrear en tiempo real” todas las conexiones a los “sitios piratas” intervenidos en la operación policial (más de 500 entre sitios web y canales de Telegram), y cruzar esa información con la derivada de los mecanismos de pago utilizados para pagar las ‘suscripciones’.

La carta no revela, obviamente, todos los pormenores técnicos, pero desde luego sorprende el despliegue de recursos ante una infracción menor: “a primera vista parece más adecuado para los terroristas que para las personas que buscan transmisiones baratas”.

La multa 154 euros (reducibles a 51 si se pagan en menos de dos meses), que ascendería hasta los 1.032 euros (reducibles a 344) “en caso de reincidencia”.

La razón por la que esta clase de operaciones anti-IPTV suelen saldarse sólo con la detención de los responsables del servicio y no de los consumidores del mismo no es tanto de posibilidad técnica como de reputación e imagen: ‘cazar’ a un ‘proveedor pirata’ siempre vende más que multar o meter en el calabozo al abuelito o al primo de alguien.

Pero Gian Luca Berruti, jefe de investigaciones de la Guardia di Finanza, afirma que hacen esto porque “es importante sensibilizar a todos los ciudadanos, especialmente a los jóvenes, sobre este tema y hacerles entender que financiar este negocio significa financiar el crimen organizado”.

Operazione:Dottor Pezzotto

 La operación apuntó a alrededor de 500 recursos piratas de IPTV, incluidos sitios web y canales de Telegram. En ese momento, la policía también informó que más de 310 piezas de infraestructura de IPTV, incluidos servidores primarios y de equilibrio que distribuyen transmisiones ilegales, se desconectaron


La policía también afirmó que un sistema de seguimiento permitió identificar a los usuarios de las transmisiones piratas. La carta sugiere tácticas extraordinarias y potencialmente sin precedentes.
“Los ISP de Italia redirigen el tráfico nacional”

Los detalles técnicos no se hacen públicos, pero se afirma que los usuarios de IPTV fueron rastreados mediante “rastreo de todas las conexiones a sitios pirata (IP) combinados, en tiempo real” y “cruce de información telemática con la derivada de los mecanismos de pago”. usó.”

Fuente (s) :