Intermediosmishingmóviloverlay attacksbanking trojansMDM

Phishing Móvil: Smishing, Apps Maliciosas y Overlay Attacks

Phishing en dispositivos móviles: smishing (SMS phishing), apps maliciosas en Play Store/App Store, overlay attacks de banking trojans, push notification phishing, y defensa con MDM y MTD.

MalwareIntel Research··13 min lectura
Serie: Phishing y Social Engineering — Parte 12

El móvil como nueva frontera del phishing

El phishing ha migrado del email al bolsillo. Los dispositivos móviles concentran hoy más del 60% de los clics en enlaces de phishing, según datos de Zimperium y Lookout correspondientes a 2025. La razón es estructural: pantallas pequeñas que ocultan URLs completas, sistemas operativos con menos capas de protección que un endpoint corporativo, y un usuario que interactúa con su teléfono en contextos de distracción (transporte, colas, notificaciones constantes).

Para los equipos SOC, el móvil es un punto ciego. La mayoría de las organizaciones tienen EDR en portátiles, proxy web en la red corporativa y secure email gateways filtrando el correo. Pero el teléfono personal del empleado (o incluso el corporativo sin MDM) opera fuera de todos esos controles. El atacante lo sabe.

Este artículo cubre los vectores principales de phishing móvil: smishing, apps maliciosas con overlay attacks, push notification phishing y las técnicas de detección y defensa disponibles.

Por qué el móvil es vulnerable

Cuatro factores convierten al dispositivo móvil en un target preferente para campañas de phishing.

Pantalla reducida y UX simplificada. Los navegadores móviles muestran URLs truncadas. En Chrome para Android, el usuario ve el dominio pero no la ruta completa. En Safari para iOS, la barra de direcciones desaparece al hacer scroll. No existe "hover" para previsualizar el destino de un enlace antes de tocarlo. El atacante explota esto con dominios que empiezan con el nombre legítimo: correos-entrega-tracking.com aparece como correos-entre... en la barra del navegador.

Ausencia de controles corporativos en BYOD. En entornos BYOD (Bring Your Own Device), el móvil personal del empleado no tiene secure email gateway, proxy web corporativo, EDR/MTD ni políticas de restricción de apps. Un SMS de phishing llega directamente al usuario sin pasar por ningún filtro.

Filtros anti-spam inmaduros en SMS/RCS. Los filtros de spam en correo electrónico llevan 20 anos de evolución. Los filtros de SMS dependen del operador, varían por país y tienen tasas de detección significativamente inferiores. En muchos operadores de Europa y Latinoamérica, la protección anti-smishing es mínima o inexistente.

Confianza implícita en el canal SMS. Los usuarios perciben los SMS como más fiables que el email. Un estudio de Proofpoint de 2024 indica que el 98% de los SMS se abren (frente al 20% de los emails) y el 45% de los SMS con enlace reciben clic (frente al 3-5% en email). Los atacantes explotan esta confianza asimétrica.

Smishing: phishing por SMS

Smishing combina "SMS" y "phishing". El atacante envía un mensaje de texto con un enlace que dirige a una página de credential harvesting o a la descarga de una app maliciosa.

Campañas documentadas

Las campañas de smishing siguen patrones predecibles que se repiten cíclicamente:

Paquetería (Correos, DHL, FedEx, SEUR). "Su paquete no pudo ser entregado. Confirme su dirección aquí: [enlace]". Estas campañas se intensifican en Black Friday, Navidad y rebajas. En España, las campañas que suplantan a Correos y SEUR han sido las más activas entre 2023 y 2025, con picos de actividad documentados por INCIBE.

Hacienda y AEAT. "Le corresponde una devolución de 249,85 EUR. Verifique sus datos bancarios: [enlace]". Aparecen cíclicamente durante la campaña de la renta (abril-junio en España). La AEAT nunca notifica devoluciones por SMS con enlaces.

Alertas bancarias. "Se ha detectado un acceso no autorizado a su cuenta. Verifique ahora: [enlace]". El SMS suele incluir el nombre del banco real del usuario (obtenido por data leaks previos o simplemente por volumen, enviando para cada banco).

Peajes y multas. Campañas que aparecen como avisos de pago pendiente de autopistas o DGT. "Tiene un peaje impagado de 4,95 EUR. Pague antes de 48h para evitar recargos: [enlace]". Estas campañas han crecido significativamente en 2025, documentadas por el FBI (IC3) y por INCIBE.

Verificación MFA. "Su código de verificación es 847291. Si no lo solicitó, proteja su cuenta aquí: [enlace]". El atacante combina esto con un intento real de login con credenciales robadas, de modo que el usuario sí recibe un código legítimo y asume que el SMS es auténtico.

SMS spoofing técnico

El protocolo SS7 (Signalling System 7), diseñado en los anos 70 para la senalización telefónica, permite que el remitente de un SMS sea un campo de texto libre configurable por el operador de origen. Los atacantes explotan esto de tres formas:

SIM farms. Hardware con decenas o cientos de tarjetas SIM prepago que envían SMS masivos. Coste operativo bajo (0,01-0,05 EUR por SMS). Fácil de desplegar, difícil de rastrear.

Servicios de SMS gateway legítimos. Plataformas como Twilio, MessageBird o Vonage permiten configurar el sender ID (el nombre que aparece como remitente). Un atacante con una cuenta verificada (usando datos robados o empresas shell) puede enviar SMS que aparecen como "Correos", "BBVA" o "Hacienda" en el teléfono del receptor.

Explotación de SS7. Acceso directo al protocolo SS7 mediante operadores poco regulados (principalmente en países con menor supervisión de telecomunicaciones). Permite inyectar SMS con sender ID arbitrario directamente en la red del operador destino.

En Android, los SMS spoofeados con el mismo sender ID que mensajes legítimos anteriores aparecen en el mismo hilo de conversación, lo que refuerza la apariencia de legitimidad.

Overlay attacks: la técnica de los banking trojans

Los overlay attacks son la técnica más sofisticada de phishing móvil. No dependen de que el usuario haga clic en un enlace: el malware ya está instalado en el dispositivo y espera a que el usuario abra una app legítima para superponer una pantalla falsa.

Cómo funcionan

El flujo de un overlay attack sigue cinco pasos:

  1. Instalación. El usuario instala una app aparentemente legítima (linterna, lector QR, limpiador de memoria, juego gratuito). La app solicita permisos de accesibilidad (Accessibility Services en Android), justificándolo como "optimización" o "protección".

  2. Monitorización. Con los permisos de accesibilidad, la app monitoriza qué aplicaciones abre el usuario. Mantiene una lista de targets (apps de banca, crypto wallets, email corporativo).

  3. Activación. Cuando el usuario abre una app target (por ejemplo, la app de BBVA o CaixaBank), el malware detecta el evento y superpone una ventana (overlay) que replica exactamente la pantalla de login de esa app.

  4. Credential harvesting. El usuario introduce sus credenciales en la pantalla falsa creyendo que es la app real. El malware captura usuario y contrasena y, en versiones avanzadas, también intercepta el SMS de verificación (usando permisos de lectura de SMS).

  5. Exfiltración. Las credenciales se envían al C2 del atacante. En muchos casos, el malware también tiene capacidad de control remoto (VNC) para ejecutar transferencias directamente desde el dispositivo infectado.

Familias principales de banking trojans con overlay

FamiliaPlataformaTargets principalesCapacidades destacadas
CerberusAndroidBancos EU (España, Francia, Italia)Overlay, SMS interception, screen recording, RAT
AnubisAndroid400+ apps bancarias globalesOverlay, keylogger, ransomware module, file encryption
TeaBot (Anatsa)AndroidBancos EU, crypto walletsOverlay, ATS (Automated Transfer System), screen streaming
SharkBotAndroidBancos EU e ItaliaOverlay, ATS, push notification manipulation
XenomorphAndroid400+ targets, bancos EUOverlay, ATS, cookie stealing, MFA bypass
VulturAndroidBancos, cryptoScreen recording (AlphaVNC), keylogger, file manager remoto

Todas estas familias tienen una característica en común: abusan de los Accessibility Services de Android para detectar la app activa y dibujar la ventana superpuesta. Google ha reforzado las restricciones sobre estos permisos en Android 13 y 14, pero las familias se adaptan con nuevas técnicas de evasión.

Apps maliciosas: el caballo de Troya en las tiendas

Las tiendas de aplicaciones no son infalibles. Los atacantes consiguen publicar apps maliciosas tanto en Google Play Store como (con menor frecuencia) en Apple App Store.

Técnicas de bypass de revisión

Dropper apps. La app publicada en la tienda está limpia. No contiene código malicioso. Después de la instalación, descarga el payload real desde un servidor externo (dynamic code loading). Google Play Protect detecta muchas de estas apps, pero el tiempo medio entre publicación y detección puede ser de días o semanas.

Versioned payloads. La app se publica con funcionalidad legítima. Después de acumular descargas y reseñas positivas, una actualización posterior introduce el código malicioso. Cuando Google detecta y retira la app, ya tiene miles o cientos de miles de instalaciones.

Side-loading. El usuario descarga el APK directamente desde un enlace (web, Telegram, WhatsApp), sin pasar por la tienda. Android permite side-loading por defecto (requiere habilitar "fuentes desconocidas"). iOS requiere jailbreak o perfiles de enterprise provisioning, lo que reduce significativamente el riesgo.

Categorías preferidas por el malware. Las apps maliciosas se disfrazan típicamente de: lectores QR, linternas, limpiadores de memoria/batería, apps de VPN gratuitas, juegos casuales y editores de fotos. Estas categorías tienen alta demanda y baja diferenciación, lo que facilita la distribución.

Impacto en iOS vs Android

iOS tiene un modelo de seguridad más restrictivo: sandboxing estricto, App Store como única fuente (excepto sideloading en la UE desde iOS 17.4), y permisos más granulares. Sin embargo, no es inmune. Campañas documentadas han usado certificados de enterprise provisioning para distribuir apps maliciosas fuera de la App Store, y ataques de phishing web (sin app) funcionan igual en Safari que en Chrome.

Android es el target principal por cuota de mercado global (~72%), mayor permisividad en side-loading, y el abuso de Accessibility Services. La fragmentación de versiones (muchos dispositivos ejecutan Android 11 o inferior sin parches recientes) amplía la superficie de ataque.

Push notification phishing

Las push notifications son un vector subestimado. El atacante utiliza dos vías:

Web push notifications. El usuario visita un sitio web (legítimo comprometido o creado por el atacante) que solicita permiso para enviar notificaciones. Si acepta, el atacante puede enviar notificaciones push desde el navegador con enlaces de phishing, incluso cuando el usuario no tiene el sitio abierto. La notificación aparece como una alerta del sistema, lo que aumenta la tasa de clic.

Manipulación de push notifications por malware. Banking trojans como SharkBot y Xenomorph pueden interceptar, suprimir o reemplazar push notifications legítimas. Esto les permite ocultar alertas del banco sobre transferencias sospechosas mientras ejecutan transacciones fraudulentas.

La defensa requiere que el usuario audite regularmente los permisos de notificación en su navegador y que las organizaciones incluyan este vector en sus programas de concienciación.

iMessage y RCS phishing

La evolución de los protocolos de mensajería introduce nuevos vectores:

iMessage. En iOS, los mensajes de remitentes desconocidos no muestran enlaces clicables. Pero los atacantes envían un mensaje inicial pidiendo al usuario que responda (por ejemplo, "Responda S para confirmar"). Una vez que el usuario responde, el hilo se marca como "conocido" y los enlaces posteriores se vuelven clicables. Esta técnica de "respuesta para activar enlaces" ha sido documentada en campañas de peajes falsos en EEUU (2025).

RCS (Rich Communication Services). El sucesor del SMS soporta rich media, read receipts y verificación de remitente. Google ha implementado verificación de marca para mensajes RCS de empresas, lo que teóricamente dificulta el spoofing. En la práctica, la adopción de RCS verificado es desigual y los atacantes siguen usando SMS legacy para las campañas de smishing.

Detección de phishing móvil

Soluciones MTD (Mobile Threat Defense)

Las plataformas MTD (Lookout, Zimperium, CrowdStrike Falcon for Mobile, Microsoft Defender for Endpoint Mobile) proporcionan capacidades que no existen de forma nativa en el sistema operativo:

  • Análisis de URLs en tiempo real en SMS, WhatsApp, email y navegador.
  • Detección de overlay attacks monitorizando el uso anómalo de Accessibility Services.
  • On-device ML para clasificar apps como potencialmente maliciosas antes de que el usuario las ejecute.
  • Network protection que detecta conexiones a dominios de phishing conocidos.
  • Compliance checks que verifican versión de SO, jailbreak/root, y apps en lista negra.

Indicadores de red

A nivel de red, los equipos SOC pueden detectar phishing móvil mediante:

  • DNS queries a dominios de phishing conocidos desde el segmento BYOD/móvil.
  • Conexiones a C2 de banking trojans (la mayoría usan HTTPS a dominios con certificados Let's Encrypt de corta duración, patrones DGA o Telegram Bot API como canal de exfiltración).
  • Volumen anómalo de SMS desde SIM farms detectado por el operador (requiere cooperación con el carrier).

Análisis comportamental

En el dispositivo, los indicadores comportamentales de compromiso incluyen:

  • Apps con permisos de accesibilidad que no deberían tenerlos.
  • Consumo anómalo de batería (screen recording o keylogging continuo).
  • Ejecución de servicios en background persistentes tras el cierre de la app.
  • Solicitudes repetidas de permisos de SMS, contactos o almacenamiento.

Defensa contra phishing móvil

Políticas MDM (Mobile Device Management)

Las organizaciones con MDM (Microsoft Intune, VMware Workspace ONE, Jamf, MobileIron) pueden implementar controles que reducen significativamente la superficie de ataque:

  • Restricción de fuentes de apps: solo permitir instalaciones desde tiendas oficiales. Bloquear side-loading.
  • App vetting: lista blanca de apps permitidas o lista negra de apps conocidas como maliciosas.
  • Configuración de permisos: denegar Accessibility Services para apps no autorizadas.
  • Separación de datos: contenedores corporativos (work profile en Android, managed apps en iOS) que aíslan datos de empresa del resto del dispositivo.
  • Wipe remoto: capacidad de borrar datos corporativos si el dispositivo se compromete.

Despliegue de MTD

La combinación MDM + MTD es la defensa más completa. El MDM gestiona la configuración y políticas. El MTD analiza amenazas en tiempo real. Juntos cubren:

CapaMDMMTD
Políticas de appsRestricción de instalaciónAnálisis de riesgo de apps
Phishing URLsNo cubreAnálisis en tiempo real
Overlay detectionRestricción de AccessibilityDetección comportamental
RedVPN corporativaAnálisis de conexiones
ComplianceVersión SO, cifradoJailbreak, root, CVEs

Formación específica para móvil

Los programas de security awareness suelen centrarse en phishing por email. Para móvil, la formación debe cubrir puntos específicos:

  • No confiar en SMS con enlaces, especialmente de entidades que normalmente no comunican por SMS con enlaces (bancos, hacienda).
  • Verificar URLs completas antes de introducir credenciales, expandiendo la barra de direcciones del navegador.
  • No conceder permisos de accesibilidad a apps que no sean lectores de pantalla o herramientas de asistencia legítimas.
  • Auditar regularmente los permisos de notificaciones del navegador.
  • No responder a SMS de remitentes desconocidos para evitar activar enlaces en iMessage.
  • Reportar SMS sospechosos al equipo de seguridad (o al 017 de INCIBE en España).

Recursos y referencias

  • INCIBE. Avisos de seguridad y campañas de smishing activas en España. incibe.es/ciudadania/avisos
  • MITRE ATT&CK Mobile. Matriz de tácticas y técnicas para plataformas móviles. attack.mitre.org/matrices/mobile
  • Zimperium Global Mobile Threat Report (2025). Estadísticas de phishing móvil y tendencias de banking trojans.
  • Lookout Mobile Threat Landscape Report (2025). Análisis de amenazas móviles con foco en smishing y apps maliciosas.
  • ThreatFabric. Investigación especializada en banking trojans Android (Cerberus, Xenomorph, Anatsa/TeaBot). threatfabric.com/blogs
  • Google TAG. Reportes sobre apps maliciosas detectadas en Play Store y campañas de spyware móvil.
  • NIST SP 800-124 Rev. 2. Guidelines for Managing the Security of Mobile Devices in the Enterprise.
  • FBI IC3. Alertas sobre campañas de smishing de peajes y paquetería (2024-2025).
  • ENISA. Threat Landscape for Mobile Devices. Perspectiva europea sobre amenazas móviles.

Preguntas frecuentes

Artículos relacionados

Phishing y Social EngineeringPrincipiante

¿Qué es Phishing? Taxonomía Completa: Email, Spear, Whaling, Vishing, Smishing y Quishing

Phishing y Social EngineeringIntermedio

Quishing: Ataques de Phishing via QR Code y Campañas Documentadas

Phishing y Social EngineeringIntermedio

Defensa Anti-Phishing: DMARC, Security Awareness y Controles Técnicos Multicapa

Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.