¿Qué es Malware-as-a-Service (MaaS) móvil?

Es un modelo de negocio criminal donde desarrolladores de malware alquilan sus herramientas a otros ciberdelincuentes mediante suscripciones mensuales. El comprador recibe un builder para generar APKs maliciosos, un panel de control (C2) para gestionar dispositivos infectados, actualizaciones periódicas para evadir detección, y soporte técnico. Los precios van de 500 a 5.000 USD/mes según las capacidades incluidas.

¿Cuánto cuesta alquilar un troyano bancario móvil?

Los precios varían según la familia y las capacidades. Un troyano bancario básico con overlays y SMS interceptor cuesta entre 500 y 1.500 USD/mes. Familias premium como Hook o Ermac v2 con VNC remoto, keylogger avanzado y bypasses de Google Play Protect pueden alcanzar los 3.000-5.000 USD/mes. Algunos operadores ofrecen descuentos por contratos trimestrales o anuales.

¿Cómo funciona el modelo de afiliados en MaaS móvil?

Los desarrolladores del malware reclutan afiliados que se encargan de la distribución (campañas de phishing, apps troyanizadas en stores alternativos). Los afiliados pagan la suscripción mensual y se quedan con el dinero robado a las víctimas. Algunos modelos incluyen reparto de beneficios: el desarrollador recibe un porcentaje (10-30%) de cada operación exitosa del afiliado.

¿Qué servicios incluye una suscripción MaaS móvil?

Una suscripción típica incluye: builder para generar APKs personalizados, panel C2 web para gestionar bots, overlays (inyecciones) para apps bancarias del país objetivo, actualizaciones de evasión (ofuscación, nuevas técnicas anti-análisis), soporte técnico vía Telegram o foro, y en algunos casos, servicios de distribución (dropper en Google Play, campañas de smishing).

¿Las fuerzas del orden pueden desmantelar operaciones MaaS móviles?

Sí, aunque es difícil. Operaciones policiales han logrado desmantelar infraestructuras de Cerberus (2020, tras fuga del código fuente), FluBot (2022, Europol coordinó 11 países), y Anatsa/TeaBot (parcialmente). Sin embargo, cuando se cierra una familia, el código fuente o partes de él a menudo se filtran o venden, dando lugar a variantes y forks que continúan la operación bajo nuevos nombres.

IntermedioMaaSAndroidbanking trojanundergroundcibercrimenafiliados

MaaS Móvil: Malware-as-a-Service en el Ecosistema Android

Análisis del modelo Malware-as-a-Service (MaaS) en el ecosistema móvil: modelo de negocio, precios (500-5000 USD/mes), familias principales (Cerberus, Alien, Hook, Ermac), modelo de afiliados, servicios de distribución, marketplaces underground y desmantelamientos policiales.

MalwareIntel Research·6 de junio de 2026·11 min lectura

Serie: Malware Móvil — Parte 8

El modelo de negocio del malware móvil

El malware móvil ha dejado de ser territorio exclusivo de desarrolladores técnicos. En los últimos cinco años, el modelo Malware-as-a-Service (MaaS) ha democratizado el acceso a herramientas de cibercrimen móvil, permitiendo que operadores sin conocimientos técnicos avanzados lancen campañas de fraude bancario a escala.

El MaaS móvil replica el modelo SaaS legítimo: un desarrollador crea y mantiene el producto (el malware), y lo alquila a clientes (los operadores o afiliados) mediante suscripciones mensuales. El desarrollador se beneficia de ingresos recurrentes y predecibles, mientras que el operador accede a herramientas sofisticadas sin necesidad de escribir código.

Este modelo ha reducido drásticamente la barrera de entrada al cibercrimen móvil. Donde antes se necesitaban meses de desarrollo y expertise en ingeniería inversa de Android, ahora un operador puede lanzar una campaña funcional en horas con un presupuesto de entre 500 y 5.000 USD al mes.

Anatomía de una oferta MaaS móvil

Componentes incluidos en la suscripción

Componente	Descripción	Nivel básico	Nivel premium
Builder	Genera APKs personalizados con C2 y overlays configurados	Sí	Sí
Panel C2	Interfaz web para gestionar bots, enviar comandos, ver datos robados	Básico	Avanzado con estadísticas
Overlays/Inyecciones	HTML que imita la pantalla de login de apps bancarias	50-100 apps	200-400+ apps
Actualizaciones	Parches de evasión, nuevas técnicas anti-análisis	Mensual	Semanal
Soporte técnico	Asistencia vía Telegram o foro	Básico (48h respuesta)	Prioritario (menos de 4h)
Distribución	Servicios para colocar el APK en dispositivos víctimas	No incluido	Opcional (coste extra)
VNC/Screen control	Control remoto del dispositivo infectado	No	Sí
Keylogger	Captura de pulsaciones de teclado	Básico	Avanzado (por app)
Persistencia	Mecanismos para sobrevivir reinstalaciones y reinicios	Básico	Avanzado (device admin, accessibility)

Modelo de precios

Los precios en el underground oscilan según la reputación del desarrollador, las capacidades y el soporte:

Tier	Precio (USD/mes)	Ejemplo de familias	Capacidades
Entrada	500-1.000	Forks de código filtrado	Overlays básicos, SMS interception, sin VNC
Medio	1.500-3.000	Anatsa, Ermac v1	Overlays avanzados, keylogger, cookie stealer
Premium	3.000-5.000	Hook, Ermac v2, Octo v2	VNC remoto, bypasses avanzados, actualizaciones frecuentes
Enterprise	5.000-10.000+	Ofertas privadas	Desarrollo a medida, exclusividad regional, soporte 24/7

Algunos operadores ofrecen modelos híbridos: una tarifa base reducida más un porcentaje (10-30%) de cada operación de fraude exitosa.

Familias MaaS móviles principales

Cerberus (2019-2020): el pionero del MaaS móvil

Cerberus fue uno de los primeros troyanos bancarios Android en adoptar plenamente el modelo MaaS con marketing profesional. Apareció en junio de 2019 con un sitio web público, cuenta de Twitter activa y precios claros:

4.000 USD por 3 meses
7.000 USD por 12 meses
12.000 USD por licencia de por vida

Capacidades de Cerberus:

Overlay attacks para más de 200 apps bancarias
SMS interception (bypass de 2FA por SMS)
Keylogger basado en servicio de accesibilidad
Grabación de pantalla
Control remoto vía TeamViewer embebido
Bloqueo de pantalla (ransomware ligero)

El fin de Cerberus: en julio de 2020, el desarrollador principal anunció que "se retiraba" y subastó el código fuente completo en foros underground por 100.000 USD. Cuando la subasta no alcanzó el precio deseado, publicó el código fuente de forma gratuita. Esto provocó una explosión de variantes y forks que aún operan bajo diferentes nombres.

Alien (2020-2021): el heredero de Cerberus

Alien emergió meses después de la filtración de Cerberus, construido sobre su código fuente pero con mejoras significativas:

Notificación sniffer (captura notificaciones de apps bancarias)
Authenticator code stealer (roba códigos de Google Authenticator)
Mail harvester
Instalador de apps silencioso
Overlay para más de 226 apps bancarias

Alien se comercializó a 5.000 USD/mes e incluyó soporte técnico activo en canales de Telegram. El desarrollador (conocido como "ProjectCDM") mantuvo una reputación sólida en foros underground, lo que atrajo a docenas de afiliados.

Ermac (2021-2023): especialización por país

Ermac ("Encrypted Remote Access Mobile Controller") fue desarrollado por el mismo actor detrás de BlackRock (otro fork de Cerberus). Sus versiones principales:

Ermac v1 (agosto 2021):

3.000 USD/mes
378 overlays para apps bancarias
Orientado a Europa (especialmente Polonia, Alemania, España, Italia)
Keylogger avanzado con captura por app específica

Ermac v2 (mayo 2022):

5.000 USD/mes
467 overlays
Cookie stealer para sesiones de navegador
Push notification interception
Comunicación C2 cifrada con certificate pinning

Hook (2023-2024): la evolución premium

Hook fue anunciado en enero de 2023 por el mismo desarrollador de Ermac (conocido como "DukeEugene"). Se presentó como la evolución natural de Ermac con capacidades premium:

VNC remoto: control en tiempo real del dispositivo infectado, permitiendo al operador navegar por apps bancarias directamente
RAT completo: ejecución de comandos, gestión de archivos, captura de fotos
WhatsApp extractor: lectura y exportación de mensajes de WhatsApp
Overlays para 700+ apps: la base de inyecciones más amplia del mercado
Precio: 5.000-7.000 USD/mes

En abril de 2023, DukeEugene fue arrestado y la infraestructura de Hook desmantelada parcialmente. Sin embargo, el código fuente se filtró rápidamente en foros underground, dando lugar a múltiples forks.

Octo / ExobotCompact (2022-presente)

Octo es la evolución de ExoBot, uno de los troyanos bancarios Android más antiguos y respetados. Sus versiones:

Versión	Año	Precio	Capacidad distintiva
Octo v1	2022	2.000-3.000 USD/mes	Remote access via MediaProjection API
Octo v2	2023	3.000-5.000 USD/mes	Domain Generation Algorithm (DGA), anti-análisis mejorado

Octo v2 introdujo un Domain Generation Algorithm para su comunicación C2, lo que dificulta significativamente el bloqueo de la infraestructura por parte de investigadores y fuerzas del orden.

El ecosistema de distribución

Servicios de dropper en Google Play

Una pieza crítica del ecosistema MaaS son los "dropper services": servicios especializados en colocar apps maliciosas en Google Play Store que actúan como puerta de entrada para descargar el troyano bancario.

Servicio	Método	Precio aproximado
Play Store dropper	App legítima que descarga el payload tras la instalación	2.000-5.000 USD por campaña
Account seller	Cuentas de desarrollador de Google Play verificadas	100-300 USD por cuenta
Obfuscation service	Ofuscación del APK para evadir Play Protect	200-500 USD por muestra
Smishing service	Envío masivo de SMS con enlaces al APK	0.01-0.05 USD por SMS

Los droppers en Google Play siguen un patrón común:

Se publican como apps legítimas (lectores de PDF, limpiadores de sistema, apps de fitness)
Pasan la revisión de Google porque no contienen código malicioso inicialmente
Tras acumular instalaciones, una actualización remota descarga el payload malicioso
El usuario recibe un prompt para "actualizar" la app, que en realidad instala el troyano bancario

Google elimina miles de estas apps anualmente, pero el coste de crear y publicar nuevas es bajo en comparación con los beneficios del fraude.

Campañas de smishing

Los servicios de smishing (SMS phishing) son otro pilar de la distribución:

Ejemplo de SMS de distribución típico:

"BBVA: Se ha detectado actividad sospechosa en su cuenta.
Verifique su identidad: https://bbva-verificacion[.]xyz/app"

El enlace descarga el APK del troyano bancario, que imita la app oficial
del banco con un overlay convincente.

Los servicios de smishing ofrecen:

Bases de datos de números de teléfono segmentados por país y operadora
Envío desde SIM farms o servicios VoIP
Rotación de dominios para evitar bloqueos
Personalización del mensaje por banco y país objetivo

Distribución vía redes sociales y mensajería

Canales de Telegram, grupos de WhatsApp y anuncios en redes sociales se usan para distribuir APKs maliciosos disfrazados de:

Apps de streaming gratuito (Netflix, HBO)
Apps de criptomonedas con "rendimientos garantizados"
Apps de juegos crackeados
Herramientas "premium" gratuitas (VPN, antivirus)

Marketplaces underground

Foros principales

Foro	Idioma	Contenido MaaS móvil
XSS (antiguo DaMaGeLaB)	Ruso	Ventas de builders, overlays, servicios de distribución
Exploit.in	Ruso	Anuncios de familias MaaS premium, reviews de compradores
Cracked.io	Inglés	Forks gratuitos, tutoriales, overlays compartidos
BreachForums	Inglés	Ventas de datos robados por MaaS, logs de bots

Canales de Telegram

Telegram se ha convertido en el canal principal de comunicación entre desarrolladores y clientes de MaaS:

Canales de anuncio: el desarrollador publica novedades, actualizaciones y precios
Grupos de soporte: atención técnica para clientes que pagan
Canales de prueba: demostración de capacidades con videos y capturas del panel
Escrow services: intermediarios que retienen el pago hasta que el comprador confirma que el producto funciona

La ventaja de Telegram para los operadores MaaS es la combinación de cifrado, anonimato relativo (no requiere número real con SIMs prepago), canales públicos para marketing y grupos privados para operaciones.

Evolución del MaaS: del escritorio al móvil

El modelo MaaS no nació en el ecosistema móvil. Tiene precedentes directos en el malware de escritorio:

Era	Familia	Plataforma	Modelo
2011-2014	Zeus (Citadel, KINS)	Windows	Builder + overlays vendidos en foros
2014-2016	Dridex	Windows	Affiliate model con botnets
2016-2018	TrickBot	Windows	MaaS con módulos (spreader, VNC, email harvester)
2019-2020	Cerberus	Android	Primer MaaS móvil con marketing público
2020-2022	Alien, Ermac	Android	Forks de Cerberus con mejoras incrementales
2023-presente	Hook, Octo v2	Android	MaaS premium con VNC y RAT completo

La migración del escritorio al móvil fue impulsada por varios factores:

Adopción de banca móvil: el 76% de los usuarios europeos usan banca móvil, convirtiendo el teléfono en el objetivo principal
2FA por SMS: los troyanos móviles interceptan los SMS de verificación, eliminando la protección más común
Menor madurez de la seguridad: las protecciones de Android (Play Protect, permisos) son robustas pero más fáciles de evadir que las de un endpoint corporativo con EDR
Siempre encendido: el móvil está activo 24/7, proporcionando una ventana de operación permanente

Desmantelamientos policiales

FluBot (2022)

La operación coordinada por Europol en mayo de 2022 desmanteló la infraestructura de FluBot, uno de los troyanos móviles de propagación más agresiva:

11 países participantes: España, Países Bajos, Finlandia, Australia, Bélgica, Hungría, Irlanda, Rumanía, Suecia, Suiza, EE.UU.
Método de propagación: SMS masivos con enlaces de seguimiento de paquetería falsos
Dispositivos infectados: más de 10.000 en España, decenas de miles globalmente
Resultado: infraestructura desmantelada, dominio C2 sinkholed por la policía neerlandesa

Operación EMOTET Mobile (2021)

Aunque Emotet es primariamente un loader de escritorio, su desmantelamiento en enero de 2021 (Europol, 8 países) incluyó componentes de distribución móvil. La operación tomó control de la infraestructura C2 y distribuyó una actualización que eliminaba el malware de los dispositivos infectados.

Arresto de DukeEugene (Hook/Ermac, 2023)

El desarrollador principal de las familias Ermac y Hook fue arrestado en abril de 2023. Sin embargo, el código fuente de ambas familias se filtró rápidamente, lo que ilustra un problema recurrente: el arresto del desarrollador no elimina la amenaza si el código ya está distribuido.

Desmantelamiento parcial de Anatsa/TeaBot (2023-2024)

Múltiples operaciones coordinadas han eliminado droppers de Anatsa de Google Play Store y desmantelado parcialmente su infraestructura C2. Sin embargo, la familia sigue activa con nuevos droppers y dominios C2 rotados.

Contramedidas y detección

Para analistas de threat intelligence

Indicadores a monitorizar en el ecosistema MaaS móvil:

Nuevos anuncios en foros underground: aparición de nuevas familias o actualizaciones
Filtraciones de código fuente: típicamente preceden a una explosión de variantes
Cambios en precios: reducciones agresivas pueden indicar competencia o declive
Overlays nuevos: la aparición de overlays para bancos de un país específico indica que ese país será objetivo próximamente
Dominios C2: rotación de infraestructura, uso de DGA, migración a servicios bulletproof

Para equipos de seguridad de entidades financieras

Monitorizar la aparición de overlays que imiten la app bancaria propia
Implementar detección de emuladores y dispositivos rooteados en la app bancaria
Verificar integridad de la app en runtime (anti-tampering)
Usar autenticación biométrica en lugar de SMS para 2FA
Implementar behavioral analytics para detectar sesiones controladas por VNC

Recursos

ThreatFabric Reports: análisis detallados de familias MaaS móviles
Europol: IOCTA: informe anual sobre cibercrimen organizado
Google TAG Blog: investigaciones sobre distribución de malware en Android
Cleafy Labs: investigación sobre fraude bancario móvil
MITRE ATT&CK Mobile: marco de TTPs para malware móvil
AppCensus: análisis de privacidad de apps Android
VirusTotal Intelligence: búsqueda de muestras MaaS

Preguntas frecuentes

Libros recomendados

The Art of Cyberwarfare (Jon DiMaggio)

Amazon (enlace afiliado)

Sandworm (Andy Greenberg)