Escrito por el equipo de investigación móvil de Dexter Shin McAfee descubrió una nueva y activa campaña de malware de Android dirigida a usuarios de habla bengalí, principalmente a las personas bangladesh que viven en el extranjero. La aplicación se plantea como servicios financieros populares como Taptap Send y Alimapay. Se distribuye a través de los sitios de phishing y las páginas de Facebookfacekbook, y la aplicación roba la información personal y financiera de los usuarios. La campaña sigue siendo muy activa, con el servidor de comando y control (C2) operativo y conectado a múltiples dominios en evolución. Si bien las técnicas de ataque no son nuevas, la orientación cultural y la actividad sostenida de la campaña reflejan cómo los ciberdelincuentes continúan adaptando sus estrategias para llegar a comunidades específicas. McAfee Mobile Security ya detecta esta amenaza como Android/FakeApp. Para obtener más información, visite McAfee Mobile Security. Las personas de Bangladesh que viven en el extranjero, particularmente en países como Arabia Saudita, Emiratos Árabes Unidos, Malasia y el Reino Unido, dependen en gran medida de los servicios de dinero móvil para enviar remesas y verificar sus identidades para diversos fines. Los servicios como Bkash, TapTap Send y Alimapay son ampliamente utilizados y confiados dentro de esta comunidad. En 2024, las remesas anuales enviadas a Bangladesh alcanzaron casi $ 26.6 mil millones, clasificando el sexto a nivel mundial y el tercero en el sur de Asia. Este flujo masivo de fondos transfronterizos destaca la importancia económica y el compromiso digital de la diáspora de Bangladesh. Figura 1. Los principales destinatarios de remesas en 2024 (Fuente: Banco Mundial) A medida que más personas usan aplicaciones financieras móviles, los ciberdelincuentes están encontrando nuevas formas de engañarlas utilizando aplicaciones falsas y sitios web de phishing. Muchos usuarios confían en las aplicaciones compartidas por amigos o familiares, y algunos pueden no saber cómo detectar estafas. Esto los hace objetivos fáciles para los atacantes. En mayo de 2025, el equipo de investigación móvil de McAfee identificó una campaña de malware diseñada para explotar estas condiciones. La aplicación falsa de Android se hace pasar por servicios de transferencia de dinero bien conocidos y roba información personal, como el nombre del usuario, la dirección de correo electrónico, el número de teléfono y la identificación con foto (como un pasaporte o una tarjeta de identificación nacional). También intenta recopilar datos financieros como números de tarjetas a través de páginas falsas en la aplicación. Además, el almacenamiento del servidor C2 está expuesto públicamente, lo que significa que cualquier persona puede acceder a los datos robados, lo que aumenta significativamente el riesgo de abuso. Métodos de distribución de hallazgos técnicos En las últimas semanas, estas aplicaciones falsas han seguido apareciendo, lo que sugiere una campaña activa y sostenida dirigida a usuarios de habla bengalí. Estas aplicaciones se distribuyen principalmente a través de sitios web de phishing que imitan los servicios de remesas confiables, a menudo compartidas a través de páginas falsas de Facebook. Figura 2. Captura de pantalla de un sitio web de phishing La página está escrita completamente en bengalí, imitando un servicio de remesas legítimo comúnmente utilizado por los expatriados de Bangladesh. A continuación se muestra un extracto traducido del mensaje principal que se muestra en la página de destino: bengalí (original): আসসালামু আলাইকুম। আলাইকুম। প্রবাসী ভাইদের জন্য সুখবর। যারা কাজের পাশাপাশি বাড়তি আয় করতে চান, তারা বিকাশ, ফ্ল্যাশলোড ব্যবসা করতে পারেন। সম্পূর্ণ বৈধ উপায়ে। আপনার হাতের মধ্যে রয়েছে মোবাইলের মাধ্যমে। মোবাইল ব্যাংকিং করুন খুব সহজেই। Inglés (traducción): la paz sea contigo. Buenas noticias para nuestros hermanos que viven en el extranjero. Si está buscando obtener ingresos adicionales junto con su trabajo, puede hacer negocios con Bkash o Flashload de una manera completamente legal. Todo está a tu alcance a través de los dispositivos móviles. La banca móvil es muy fácil. Además de los sitios web de phishing, los atacantes también crearon páginas falsas de Facebook que se parecen mucho a los servicios de remesas legítimas. Estas páginas a menudo reutilizan logotipos oficiales, imágenes promocionales e incluso videos tomados de plataformas financieras reales para parecer confiables. Sin embargo, los enlaces del sitio en estas páginas apuntan a sitios web de phishing que alojan la aplicación maliciosa. Figura 3. Página falsa de Facebook que imita un análisis de aplicaciones falsas de servicio de remesas legítimas Una vez instalado, la aplicación falsa presenta inmediatamente una interfaz que se parece mucho a una aplicación de remesas legítima. Apoya las opciones de idioma bengalí e inglés y muestra tipos de cambio de aspecto realista. Figura 4. La interfaz de usuario inicial de los usuarios de aplicaciones de envío de Taptap falso puede seleccionar entre una lista de países con grandes poblaciones de expatriados de Bangladesh, como Maldivas, Dubai, Omán, Arabia Saudita, Malasia, Canadá e India, para simular las transferencias de dinero a Bangladeshi Taka (BDT). Es probable que estos detalles se incluyan para establecer confianza y hacer que la aplicación parezca funcional. Sin embargo, estas pantallas sirven como cebo para alentar a los usuarios a proceder con la creación de cuentas e ingresar información personal. A medida que los usuarios continúan a través del flujo de registro, la aplicación solicita datos cada vez más confidenciales en múltiples etapas. Primero, solicita la dirección de correo electrónico del usuario y el nombre completo. Luego, les pide que seleccionen su país de residencia y proporcione un número móvil válido. A continuación, se les pide a los usuarios que elijan un tipo de cuenta, ya sea «personal» o «agente», una distinción comúnmente vista en plataformas de remesas reales. Figura 5. Flujo de registro de múltiples pasos (1) Después de esto, la aplicación alcanza su etapa más sensible: le pide al usuario que tome y cargue una foto de una identificación oficial, como un pasaporte, ID nacional (NID) o una foto de verificación de comercio electrónico. Esta solicitud se realiza en el idioma local y se enmarca como un requisito para completar la configuración de la cuenta. Después de cargar la ID, se les pide a los usuarios que creen una contraseña de inicio de sesión y un PIN de 5 dígitos, al igual que las aplicaciones financieras reales. Este paso hace que la aplicación se sienta más confiable y segura, pero las credenciales recopiladas podrían usarse más tarde en ataques de relleno de credenciales. Toda esta información se envía al servidor C2 y se almacena, lo que la pone a disposición para fraude futuro o robo de identidad. Figura 6. Flujo de registro de múltiples pasos (2) Después de completar el proceso de registro, los usuarios son llevados a un tablero de tablero totalmente diseñado. La interfaz imita una aplicación financiera o de remesas real, completa con íconos para la transferencia de dinero, pago de facturas, banca móvil e incluso funciones de atención al cliente. Figura 7. El tablero principal de la aplicación Fake Taptap. El malware incluye múltiples interfaces de transacciones falsas. Estas pantallas simulan transferencias de dinero móvil, pagos de facturas y transferencias bancarias utilizando logotipos de servicios reales. Aunque no se realiza una transacción real, la aplicación recopila toda la información ingresada, como números de teléfono, detalles de la cuenta, pines y montos de pago. Estos datos se transmiten al servidor C2. Figura 8. Pantallas de transacciones falsas que imitan los servicios financieros reales C2 Servidor y la exfiltración de datos Toda la información recopilada por la aplicación falsa, incluidas las credenciales, los datos de contacto y las ID de foto, se almacena en el servidor C2. Sin embargo, el servidor carece de configuraciones de seguridad básicas. El listado de directorio está habilitado, lo que significa que cualquiera puede acceder a los archivos cargados sin autenticación. Durante nuestra investigación, encontramos que uno de los dominios C2 contenía 297 archivos de imagen. Estos archivos parecen ser ID de foto cargados por los usuarios durante el proceso de registro. Figura 9. Listado de directorio de acceso público en el servidor C2 Estas imágenes de ID incluyen información personal altamente confidencial y son de acceso público. Si se descargan o se usan mal, podrían representar un grave riesgo de robo de privacidad e identidad. Figura 10. Ejemplo de una imagen de identificación fotográfica sensible cargada durante el registro de la aplicación Figura 11. Distribución geográfica de dispositivos infectados Como se esperaba, la telemetría muestra actividad en países con grandes poblaciones de Bangladesh en el extranjero, como Arabia Saudita, Malasia, Bangladesh y los Emiratos Árabes Unidos. Esto se alinea con la orientación de la aplicación a los usuarios de habla bengalí a través del lenguaje y las imágenes culturalmente familiares. La campaña permanece activa, con nuevos dominios de phishing y variantes que continúan apareciendo. Dada la naturaleza evolutiva de esta amenaza y el uso de plataformas de confianza como Facebook para distribuir contenido malicioso, los usuarios deben mantenerse cautelosos al encontrar promociones de servicios financieros a través de las redes sociales o sitios web desconocidos. Recomendamos descargar aplicaciones solo de fuentes de confianza como Google Play, evitar enlaces compartidos a través de las redes sociales y tener mucho cuidado cuando se le pide que proporcionen información personal o bancaria. También se recomienda usar un software de seguridad móvil que pueda detectar y bloquear estas amenazas. Indicadores de compromiso (IOCS) \ x3cimg Height = «1» width = «1» style = «Display: None» src = «https://www.facebook.com/tr?id=766537420057144&ev=pageview&noscript=1″/> \ x3c/noscript>);