En los últimos meses, se ha detectado una nueva oleada de ataques protagonizada por DoubleTrouble, un sofisticado troyano bancario para Android que ha evolucionado de manera alarmante y ahora se distribuye, entre otros métodos, a través de Discord. Esta amenaza supone un riesgo especialmente elevado para usuarios europeos y entidades financieras, al combinar técnicas de ingeniería social avanzadas y una notable capacidad para evadir la detección en dispositivos móviles.

El equipo de investigación de Zimperium y zLabs ha identificado una campaña intensiva en la que DoubleTrouble aprovecha canales de Discord para repartir APKs maliciosas. Se han analizado nueve muestras recientes y 25 de variantes anteriores, comprobando que el malware se adapta rápidamente y actualiza constantemente sus estrategias para propagarse de manera más efectiva y persistente en los dispositivos.

Cómo opera DoubleTrouble en dispositivos Android

DoubleTrouble llega a los usuarios bajo la apariencia de una aplicación legítima que simula el icono de Google Play, o se presenta como extensiones o complementos aparentemente inofensivos. Su principal táctica para obtener control es pedir permisos de los Servicios de Accesibilidad de Android. Una vez concedidos, la amenaza puede operar de forma oculta, realizar acciones en segundo plano y ofrecer a los atacantes la posibilidad de manipular el terminal casi a su antojo.

Uno de los puntos fuertes del troyano es su método de instalación basado en sesiones, con el que esconde la carga maliciosa en el directorio resources/raw de la app infectada. Esto complica su detección, tanto por parte de los usuarios como de los sistemas de seguridad tradicionales. Además, su código utiliza nombres aleatorios para métodos y clases, lo que hace aún más difícil su análisis y la ingeniería inversa del malware.

En cuanto a su funcionamiento interno, DoubleTrouble destaca por su combinación de técnicas de grabación de pantalla en tiempo real, aprovechando las APIs MediaProjection y VirtualDisplay de Android para obtener una copia virtual del display del usuario. Esta función le permite capturar credenciales, contraseñas de acceso, patrones y PINs, así como cualquier información confidencial que se muestre en pantalla, como claves de monederos de criptomonedas, contraseñas guardadas o códigos de autenticación temporales.

Entre sus funcionalidades más peligrosas, se incluyen:

• Superposiciones falsas de pantalla de bloqueo para robar códigos de desbloqueo, patrones o contraseñas.
• Keylogger avanzado que graba las pulsaciones de teclado y los cambios de ventana.
• Bloqueo y apertura de aplicaciones, en especial apps bancarias o de seguridad, para obstaculizar el uso legítimo mientras se realiza el robo de datos.
• Notificaciones y alertas falsas diseñadas para inducir a la víctima a introducir credenciales en formularios fraudulentos superpuestos sobre apps reales.

Control remoto total y capacidad de evasión

La presencia de DoubleTrouble se detecta también a través de su extenso conjunto de comandos remotos enviados por los ciberdelincuentes. Entre sus capacidades se encuentran la simulación de gestos táctiles (toques y deslizamientos), el bloqueo de apps, la inyección de HTML personalizado, la mutación de configuraciones del sistema y la activación de pantallas falsas (como “Mantenimiento del sistema” o actualizaciones de Android) para encubrir sus actividades.

Los datos robados son empaquetados y transmitidos con metadatos a los servidores de comando y control (C2), incluyendo información sobre dimensiones de pantalla, aplicaciones abiertas y eventos recientes. El troyano mantiene registros detallados en archivos como heart_beat.xml con las pulsaciones recogidas, a la espera de ser exfiltrados de manera sigilosa.

Los expertos en seguridad destacan el carácter evolutivo y la dificultad de erradicar DoubleTrouble, ya que combina técnicas de ofuscación, actualización constante y distribución en plataformas populares como Discord, eludiendo así medidas de seguridad convencionales y llegando a más víctimas potenciales.

Para protegerse, es fundamental tener precaución al instalar aplicaciones fuera de fuentes oficiales, evitar otorgar permisos innecesarios y mantener actualizado tanto el sistema operativo como las soluciones de seguridad del dispositivo. Además, las entidades legítimas nunca solicitarán la descarga de APKs a través de plataformas como Discord para realizar operaciones bancarias.

El auge de DoubleTrouble como troyano bancario en Android demuestra cómo los cibercriminales innovan para esquivar las defensas y explotar nuevas plataformas. La constante evolución de estas amenazas obliga a estar siempre atentos a las campañas de malware, con especial atención a los métodos de ingeniería social y la rápida propagación en canales donde los usuarios están menos alertas.