Netcrook Logo
👤 LOGICFALCON
🗓️ 03 Feb 2026  

Sigilo en la Vitrina: Cómo una App de “Lector de Documentos” se Convirtió en un Robo Bancario de 50,000 Usuarios

Una falsa app de lector de documentos para Android en Google Play desplegó en secreto el troyano bancario Anatsa, exponiendo a decenas de miles de usuarios al robo financiero.

Parecía inofensiva: un simple lector de documentos, prometiendo visualización rápida de PDFs y comodidad sin conexión. Pero para más de 50,000 usuarios de Android, instalar “StellarGrid” desde Google Play significó abrir la puerta a uno de los troyanos bancarios más notorios del mundo. Para cuando los investigadores de seguridad dieron la voz de alarma, la app ya había recolectado credenciales bancarias y allanado el camino para robos automatizados, todo mientras se ocultaba a plena vista en el mercado de apps más confiable del mundo.

Datos Rápidos

  • La app maliciosa “StellarGrid” fue descargada más de 50,000 veces desde Google Play.
  • La app actuaba como dropper para el troyano bancario Anatsa (TeaBot).
  • Anatsa se especializa en robar credenciales bancarias y ejecutar transacciones fraudulentas.
  • La app evadió los controles de seguridad de Google Play usando ofuscación avanzada de código y descargas de malware por etapas.
  • Google ya ha eliminado la app y revocado las credenciales del desarrollador, pero la ventana de amenaza duró semanas.

Dentro del Caballo de Troya del Troyano

La app StellarGrid, listada bajo el nombre de paquete com.recursivestd.highlogic.stellargrid, parecía y funcionaba como un visor de documentos común y corriente. Su página en Play Store estaba impecable, su interfaz era amigable y sus promesas - velocidad, acceso sin conexión - resultaban atractivas. Pero bajo la superficie, StellarGrid estaba diseñada como un dropper sofisticado: una app aparentemente inofensiva que descarga y ejecuta código mucho más siniestro solo después de la instalación.

Investigadores de ThreatLabz descubrieron que StellarGrid utilizaba una fuerte ofuscación y librerías de código nativo para ocultar su verdadero propósito. Tras la instalación, la app contactaba silenciosamente servidores externos, descargando el troyano bancario Anatsa - también conocido como TeaBot. Una vez instalado, Anatsa no solo se ocultaba. Interceptaba activamente mensajes SMS, superponía pantallas de inicio de sesión falsas sobre apps bancarias reales y monitorizaba todo, desde pulsaciones de teclas hasta actividad de apps. Al solicitar permisos de accesibilidad de Android, el malware obtenía un control casi total, permitiéndole ejecutar robos automatizados en tiempo real.

No se trataba de un simple golpe y fuga. Los operadores de Anatsa empleaban técnicas avanzadas como ataques de Servicio de Transferencia Automatizada (ATS), imitando acciones reales de usuarios para mover dinero sin ser detectados. El malware apuntaba a más de 100 instituciones financieras, principalmente en Europa y partes de Asia, aunque con alcance creciente en otras regiones. Según el análisis técnico, la lógica del dropper solo se activaba una vez que la app determinaba que se ejecutaba en un dispositivo real - no en un emulador o entorno de pruebas de un investigador de seguridad - dificultando aún más su detección.

A pesar de las capas de seguridad de Google, la estrategia de múltiples etapas de la app y su carga maliciosa disfrazada lograron pasar desapercibidas, evidenciando puntos ciegos persistentes incluso en los canales de distribución de apps más seguros. Los expertos advierten que la ingeniería social - haciéndose pasar por herramientas útiles - sigue siendo una táctica favorita de los ciberdelincuentes, y que ni siquiera las tiendas oficiales de apps están libres de infiltraciones.

¿Qué Deben Hacer los Usuarios?

Si instalaste StellarGrid, desinstálala de inmediato y ejecuta un análisis con un antivirus móvil confiable. Revoca los permisos de accesibilidad para apps desconocidas y revisa tus transacciones bancarias en busca de actividad no autorizada. Aunque Google Play Protect ofrece cierta defensa, la vigilancia y el escepticismo saludable siguen siendo tus mejores escudos contra amenazas en evolución como Anatsa.

Conclusión

El incidente de StellarGrid es un recordatorio contundente: confiar en las tiendas de apps no garantiza la seguridad. A medida que los atacantes se vuelven más sofisticados, también deben hacerlo nuestras defensas. Por cada dropper ingenioso que se elimina, otro acecha en la fila - haciendo que la vigilancia digital no solo sea recomendable, sino esencial.

WIKICROOK

  • Dropper: Un dropper es un tipo de malware que instala en secreto programas maliciosos adicionales en un dispositivo infectado, ayudando a los atacantes a evadir medidas de seguridad.
  • Ofuscación: La ofuscación es la práctica de disfrazar código o datos para dificultar que humanos o herramientas de seguridad los entiendan, analicen o detecten.
  • Troyano: Un troyano es un software malicioso disfrazado de app legítima, diseñado para engañar a los usuarios y lograr que lo instalen, con el fin de robar datos o dañar dispositivos.
  • Permisos de Accesibilidad: Los permisos de accesibilidad permiten que las apps controlen acciones del dispositivo para accesibilidad, pero pueden ser mal utilizados por malware para monitorear o manipular la actividad del usuario.
  • Servicio de Transferencia Automatizada (ATS): ATS es un ciberataque en el que el malware imita acciones del usuario para transferir fondos entre cuentas, evadiendo la seguridad y permaneciendo indetectable durante sesiones de banca en línea.
banking trojan malware Google Play
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news