https://pepelac.news/es/posts/id20905-devixor-troyano-bancario-para-android-con-modulo-ransomware

deVixor: troyano bancario para Android con módulo ransomware

Alerta Android: deVixor roba cuentas y bloquea tu móvil

deVixor: troyano bancario para Android con módulo ransomware

Investigadores alertan sobre deVixor, troyano bancario para Android que roba SMS y credenciales y bloquea el dispositivo exigiendo 50 TRX en criptomonedas.

2026-01-14T10:23:15+03:00

Investigadores de ciberseguridad han alertado de una amenaza nueva y peligrosa para los usuarios de Android: un troyano bancario llamado deVixor que no solo vacía cuentas, sino que también recurre a tácticas propias del ransomware.Los especialistas han identificado más de 700 muestras del malware y las campañas siguen activas desde octubre de 2025. deVixor se propaga mediante sitios web suplantados que se presentan como páginas de marcas automotrices reconocidas con supuestas ofertas de ocasión. A los visitantes se les invita a descargar un archivo APK disfrazado de aplicación para realizar un pedido o ampliar información, un anzuelo que busca parecer práctico e inofensivo.Una vez instalado, el troyano se incrusta en silencio y empieza a operar con un sistema de mando y control basado en Telegram. También se comunica con servidores de Firebase para recibir instrucciones y transmitir los datos robados, una combinación que dificulta la detección y el bloqueo al apoyarse en plataformas familiares. Es una jugada calculada que se aprovecha de la confianza que inspiran esas infraestructuras.Su objetivo principal es el robo económico. Escanea los mensajes SMS del dispositivo comprometido en busca de notificaciones bancarias y códigos de un solo uso, y recolecta números de tarjeta y saldos de cuenta. Los atacantes además explotan WebView e inyecciones de JavaScript para mostrar páginas bancarias falsas muy convincentes en las que las víctimas introducen sin darse cuenta sus credenciales.Lo más inquietante es su módulo de extorsión integrado. A la orden, los operadores pueden bloquear la pantalla del dispositivo y mostrar una exigencia de pago en criptomonedas TRON de 50 TRX a una dirección específica. El teléfono queda inaccesible hasta cumplir la exigencia, convirtiendo el robo de datos en un chantaje en toda regla.La aparición de deVixor confirma que los ciberdelincuentes siguen puliendo sus herramientas y haciendo que sus plataformas de ataque sean más flexibles y peligrosas. Los expertos recomiendan a los usuarios de Android revisar con lupa el origen de las aplicaciones y evitar instalar archivos APK desde sitios no verificados, especialmente cuando una oferta suena demasiado buena para ser cierta. Una precaución básica que, vista la sofisticación de estas campañas, puede marcar la diferencia.

deVixor, troyano bancario Android, ransomware Android, malware móvil, robo SMS, códigos OTP, WebView, inyecciones JavaScript, Telegram C2, Firebase, TRON, 50 TRX, seguridad Android, APK malicioso

2026

Danny Weber

news

Alerta Android: deVixor roba cuentas y bloquea tu móvil

Investigadores alertan sobre deVixor, troyano bancario para Android que roba SMS y credenciales y bloquea el dispositivo exigiendo 50 TRX en criptomonedas.

Danny Weber, Editor

10:23 14-01-2026

Los especialistas han identificado más de 700 muestras del malware y las campañas siguen activas desde octubre de 2025. deVixor se propaga mediante sitios web suplantados que se presentan como páginas de marcas automotrices reconocidas con supuestas ofertas de ocasión. A los visitantes se les invita a descargar un archivo APK disfrazado de aplicación para realizar un pedido o ampliar información, un anzuelo que busca parecer práctico e inofensivo.

Una vez instalado, el troyano se incrusta en silencio y empieza a operar con un sistema de mando y control basado en Telegram. También se comunica con servidores de Firebase para recibir instrucciones y transmitir los datos robados, una combinación que dificulta la detección y el bloqueo al apoyarse en plataformas familiares. Es una jugada calculada que se aprovecha de la confianza que inspiran esas infraestructuras.

Su objetivo principal es el robo económico. Escanea los mensajes SMS del dispositivo comprometido en busca de notificaciones bancarias y códigos de un solo uso, y recolecta números de tarjeta y saldos de cuenta. Los atacantes además explotan WebView e inyecciones de JavaScript para mostrar páginas bancarias falsas muy convincentes en las que las víctimas introducen sin darse cuenta sus credenciales.

Lo más inquietante es su módulo de extorsión integrado. A la orden, los operadores pueden bloquear la pantalla del dispositivo y mostrar una exigencia de pago en criptomonedas TRON de 50 TRX a una dirección específica. El teléfono queda inaccesible hasta cumplir la exigencia, convirtiendo el robo de datos en un chantaje en toda regla.

La aparición de deVixor confirma que los ciberdelincuentes siguen puliendo sus herramientas y haciendo que sus plataformas de ataque sean más flexibles y peligrosas. Los expertos recomiendan a los usuarios de Android revisar con lupa el origen de las aplicaciones y evitar instalar archivos APK desde sitios no verificados, especialmente cuando una oferta suena demasiado buena para ser cierta. Una precaución básica que, vista la sofisticación de estas campañas, puede marcar la diferencia.