INFORME DE AMENAZA - TROYANO BANCARIO ANDROID

La app de "transmisión gratis del Mundial 2026" que te vacía el banco y el monedero de cripto

Investigadores encontraron apps falsas de transmisión gratis, muchas haciéndose pasar por RojaDirecta, que llevan los troyanos bancarios Massiv y Perseus para Android. Abusan de la Accesibilidad, dibujan pantallas falsas de inicio de sesión sobre tus apps reales del banco, capturan tus códigos de un solo uso y leen tus notas en busca de frases de recuperación de cripto.

SB

SafeBrowz Threat Research Investigación de seguridad14 de junio de 20269 min de lectura

Por qué se está propagando justo ahora

El Mundial 2026 está en marcha. Se juega del 11 de junio al 19 de julio de 2026, en Estados Unidos, Canadá y México, la edición más grande de la historia. Esa es exactamente la ventana que los estafadores tenían planeada.

El 5 de junio de 2026, The Hacker News informó de que las estafas del Mundial 2026 ya estaban activas, apoyándose en investigaciones de las firmas de seguridad móvil ThreatFabric y Pradeo. Entre las amenazas: un repunte de apps de transmisión no oficiales maliciosas, muchas de ellas imitando a RojaDirecta, una marca de streaming deportivo muy conocida. Estas apps no muestran fútbol. Llevan troyanos bancarios para Android.

Se nombran dos familias de malware. Massiv apareció primero, en apps falsas dirigidas a usuarios de Francia, España, Portugal y Turquía. Después llegó Perseus, un troyano más avanzado construido sobre el código fuente filtrado del antiguo malware Cerberus. Perseus hace todo lo que hace un troyano bancario, y luego va más allá, y esa es la parte que importa si tienes algo de cripto.

El cebo es todo lo que cabría esperar. "Mira el Mundial gratis." "En directo, HD, sin suscripción." Publicaciones patrocinadas, cuentas falsas de aficionados y sitios de streaming llenos de anuncios empujan un enlace de descarga. The Hacker News señaló que se identificaron más de 1.700 cuentas falsas relacionadas con la FIFA, la gran mayoría en Facebook e Instagram, todas canalizando a los aficionados hacia transmisiones falsas, apuestas falsas y falsos "empleos del Mundial". La versión de la app de streaming es la que termina con una cuenta vaciada.

Qué hace de verdad la app de "stream gratis"

Pulsas un enlace en un sitio de "transmisión gratis del Mundial" o en un anuncio. En lugar de un vídeo, te llega un archivo APK, un instalador de app de Android que no vino de Google Play. Para instalarlo tienes que permitir "instalar apps desconocidas" y saltarte el aviso de Android de que esta app podría dañar tu dispositivo. Ese aviso es correcto.

Lo primero que pide la app es acceso a la Accesibilidad. La Accesibilidad es una función potente de Android pensada para usuarios que necesitan lectores de pantalla y control asistido. El malware abusa de ella porque, una vez concedida, puede leer todo lo que hay en tu pantalla, pulsar botones en tu nombre y concederse más permisos sin que vuelvas a tocar el teléfono. La app lo disfraza de "necesario para reproducir el stream". No lo es. Como dicen los investigadores, una app de streaming que pide Accesibilidad "no tiene ninguna razón honesta para necesitarla".

A partir de ahí, el troyano hace cuatro cosas, más o menos en este orden:

• Superpone inicios de sesión bancarios falsos. Cuando abres tu app real del banco, el troyano dibuja encima una pantalla de inicio de sesión falsa, perfecta al pixel. Escribes tu usuario y tu contraseña en la pantalla falsa. El troyano se los queda.
• Intercepta tus códigos de un solo uso. Lee los SMS entrantes y extrae los códigos OTP de tus mensajes de texto y de las notificaciones de la app de autenticación, el mismísimo segundo factor que debería frenar el robo de cuentas. Con tu contraseña y tu código, el atacante inicia sesión como si fueras tú.
• Toma el control remoto. A través de la Accesibilidad, puede navegar por las apps, aprobar avisos y mover dinero mientras el teléfono parece quieto en tu bolsillo.
• Lee tus notas (Perseus). Perseus rastrea en concreto las apps de notas, Google Keep, Samsung Notes, Evernote, OneNote, en busca de contraseñas guardadas y, lo más grave, frases de recuperación y semilla de cripto. Cualquiera que alguna vez haya pegado sus 12 o 24 palabras en una nota "solo por seguridad" le ha entregado a Perseus las llaves de todos los monederos que esa frase controla.

Ese último punto es el cruce con el drenador de monederos. Un troyano bancario que lee tus notas es también un drenador de monederos. Si tu frase semilla está en una app de notas, desaparece en cuanto Perseus se ejecuta, y no hay contracargo, ni mostrador de soporte, ni reversión en la cadena. Tratamos a fondo las secuelas en qué hacer cuando te roban la frase semilla de cripto.

Cómo detectar el stream falso antes de instalar nada

Si tienes un enlace sospechoso de "ver en directo", puedes probar aquí mismo la página a la que apunta. Pégalo abajo y el motor de 3 capas devuelve un veredicto en segundos, antes de que llegues a ningún botón de descarga.

Los dominios de descarga de esta estafa duran poco y rotan constantemente, así que no estamos nombrando uno concreto que esté vivo. Pero la forma es siempre la misma. Las páginas cebo usan nombres como worldcup-livestream-free[.]com, fifa2026-stream[.]app o rojadirecta-worldcup[.]net, con un botón de "descarga para ver en HD" que sirve un APK en lugar de un vídeo. Las superficies oficiales son distintas y pocas: fifa.com para el torneo, play.google.com para cualquier app de Android genuina, y la emisora oficial con derechos en tu país.

Señales de alerta que significan dar media vuelta

• Tienes que descargar una app para ver. Las emisoras reales transmiten en tu navegador o a través de su propia app en Google Play o la App Store. Un "reproductor de stream" suelto en formato APK es la trampa.
• El archivo es un APK de fuera de Google Play. Si tuviste que activar "instalar apps desconocidas" o saltarte un aviso de "esta app podría dañar tu dispositivo", para. Ese aviso es la verdad.
• La app exige acceso de Accesibilidad. Esta es la señal más clara de todas. Un reproductor de vídeo nunca necesita leer tu pantalla ni pulsar en tu nombre. La Accesibilidad es para herramientas de asistencia, no para streams.
• También quiere SMS, "mostrar sobre otras apps" o derechos de administrador del dispositivo. El acceso a SMS le deja robar tus códigos OTP. El permiso de superposición le deja dibujar pantallas falsas del banco. Ninguna app de streaming necesita nada de eso.
• Llegó por una publicación patrocinada, una cuenta de aficionado o una respuesta en comentarios. Más de 1.700 cuentas falsas de la FIFA empujaban esto. Un "stream gratis" promocionado en un mensaje directo o un anuncio no es una emisora.
• El sitio promete algo que nadie más ofrece. "HD gratis, todos los partidos, sin suscripción" existe para conseguir la instalación. Los derechos reales le cuestan dinero a las emisoras; nadie regala el torneo entero a través de una app cualquiera.

Qué hacer si ya instalaste una

Muévete rápido y ponte en lo peor, porque un malware con nivel de Accesibilidad puede actuar más deprisa que tú.

Córtale el acceso primero. Pon el teléfono en modo avión para que deje de comunicarse, luego ve a Ajustes y revoca el permiso de Accesibilidad de la app, y después desinstálala. Si se resiste a desinstalarse (algunas bloquean el botón mediante la Accesibilidad), arranca primero en Modo seguro, que desactiva las apps de terceros, y luego elimínala.

Da por comprometidos tu banca y tus OTP. Desde otro dispositivo distinto y limpio, cambia la contraseña de tu banca en línea y llama a la línea de fraude de tu banco para marcar la cuenta y vigilar transferencias no autorizadas. Vuelve a configurar tu app de autenticación desde cero en el dispositivo limpio. Un restablecimiento de fábrica del teléfono infectado es la forma más segura de asegurarte de que el troyano se fue.

Si tienes cripto, trata como quemada cualquier frase semilla que haya tocado ese teléfono. Si tu frase de recuperación estuvo en una app de notas, o la escribiste alguna vez en ese dispositivo, Perseus puede tenerla ya. Mueve tus fondos a un monedero nuevo con una frase semilla nueva, generada en un dispositivo que nunca estuvo infectado. Nuestra guía de recuperación de frase semilla robada tiene la lista completa de las primeras 24 horas, y desconfía de cualquiera que ofrezca "recuperación de fondos" de pago, esa es una segunda estafa.

Repórtalo. En España, denuncia ante la Policía Nacional o la Guardia Civil, y consulta la Oficina de Seguridad del Internauta (osi.es) o llama gratis al INCIBE en el 017. En México, repórtalo a la CONDUSEF y a la policía cibernética; si hubo un cargo en tarjeta, también a la PROFECO. Reporta además la app y las cuentas falsas a la plataforma que las alojó para que el proceso de cierre se ponga al día.

Cómo ver de verdad el Mundial de forma segura

La respuesta honesta es menos emocionante que "HD gratis todo", pero te deja el banco y el monedero intactos. Mira a través de la emisora oficial con derechos en tu país, a la que llegas desde tu propio marcador o tienda de apps, nunca desde un anuncio ni un enlace de resultados de búsqueda. Consulta el calendario de partidos y la lista de socios de emisión oficiales en fifa.com. Si lo quieres en el móvil, instala la app real de la emisora desde play.google.com o la App Store, donde Google y Apple filtran exactamente esta clase de malware. Ninguna forma legítima de ver el Mundial implica instalar un APK de lado y concederle Accesibilidad. Ninguna.

Para el panorama más amplio del fraude de entradas, los sorteos falsos y el phishing en torno al torneo, mira nuestra guía completa de estafas del Mundial 2026 y el desglose de los sitios falsos de stream gratis.

Cómo SafeBrowz bloquea esta amenaza

SafeBrowz funciona con una arquitectura de detección de 3 capas: Local + APIs + IA. El malware en sí es un APK de Android, pero antes tiene que llegar a tu teléfono, y casi siempre viaja a través de una página web: el sitio cebo de "stream gratis" con el botón de descarga. Esa página es donde SafeBrowz interviene, antes de que llegues al APK.

• Capa 1 - Detección local: más de 60 patrones de URL y una base de datos de más de 550 marcas se ejecutan en el navegador antes de que la página se cargue. Un cebo de "stream gratis del Mundial" dispara varias señales a la vez: una palabra clave de evento o de marca de streaming (Mundial, FIFA, RojaDirecta) en un dominio que no es oficial, el patrón de descarga falsa que sirve un APK, y hosts parecidos o recién registrados.
• Capa 2 - Comprobaciones por API: agrega Google Safe Browsing, PhishTank, URLhaus, ScamAdviser y más de 30 listas de TLD de estafa en el servidor. Los dominios de distribución de malware aparecen en estos feeds, y un host totalmente nuevo sin historial es por sí mismo una señal ponderada.
• Capa 3 - Análisis profundo con IA (Premium): el análisis de contenido con IA (a través de nuestro proxy, más de 100 idiomas) lee la página como lo haría una persona y atrapa variantes nuevas que ninguna lista de bloqueo tiene aún, la promesa de "ver gratis en HD" junto a un aviso de descargar una app, la suplantación de la marca de streaming y el desajuste entre un dominio no oficial y una oferta de aspecto oficial, y luego devuelve un veredicto de peligro en segundos.

Las firmas de detección provienen de investigación de inteligencia de amenazas y de nuestra base de datos interna de marcas, no de los datos de navegación de los usuarios. SafeBrowz no almacena el historial de navegación por usuario.

Preguntas frecuentes

¿De verdad una app de transmisión gratis del Mundial puede infectar mi teléfono?

Sí, si la instalas desde fuera de Google Play. The Hacker News informó el 5 de junio de 2026 de que apps falsas de transmisión gratis que imitan a servicios como RojaDirecta llevan los troyanos bancarios Massiv y Perseus para Android. Una vez instalada, la app abusa de la Accesibilidad de Android para tomar el control del teléfono, superpone pantallas falsas de inicio de sesión bancario, intercepta tus códigos de un solo uso de SMS y de la app de autenticación, y Perseus lee las apps de notas en busca de contraseñas guardadas y frases de recuperación de cripto. Ninguna de estas apps está en Google Play, así que instalarla obliga a saltarte el aviso de Android de que la app podría dañar tu dispositivo.

¿Por qué una app de streaming pide permiso de Accesibilidad?

Porque es malware. Un reproductor de vídeo real no tiene ninguna razón honesta para necesitar la Accesibilidad, que es una función de Android pensada para lectores de pantalla y control asistido. Los troyanos bancarios abusan de ella porque, una vez concedida, pueden leer todo lo que hay en tu pantalla, pulsar botones en tu nombre y concederse más permisos sin que toques el teléfono. Los investigadores llaman a la petición de Accesibilidad la señal de alerta más clara. Si una app de "stream" la pide, deniégala, desinstala la app y mira a través de una emisora oficial.

¿Cómo roba el troyano mis códigos OTP y de 2FA?

Después de obtener acceso de Accesibilidad, el troyano lee los SMS entrantes y extrae los códigos de un solo uso de tus mensajes de texto y de las notificaciones de la app de autenticación. Los combina con el usuario y la contraseña del banco que capturó mediante una pantalla falsa de inicio de sesión superpuesta sobre tu app bancaria real. Con tu contraseña y tu segundo factor, el atacante puede iniciar sesión y mover dinero como si fueras tú. El OTP por SMS está especialmente expuesto, lo cual es una razón para que una app de autenticación en un dispositivo limpio sea más segura, pero ningún segundo factor sobrevive a un troyano que ya controla el teléfono.

¿Este malware puede robar mi cripto?

Sí. Perseus lee en concreto las apps de notas, Google Keep, Samsung Notes, Evernote, OneNote, en busca de contraseñas guardadas y frases de recuperación o semilla de cripto. Si la frase semilla de tu monedero está guardada en cualquier app de notas del teléfono infectado, el atacante puede recrear tu monedero en su propio dispositivo y vaciarlo. No hay reversión en la cadena. Nunca guardes una frase semilla en una app de notas, en una foto ni en ningún texto sincronizado en la nube. Si sospechas que hay infección, mueve tus fondos a un monedero nuevo con una frase semilla nueva generada en un dispositivo limpio de inmediato.

¿Cómo veo el Mundial 2026 de forma segura?

Mira a través de la emisora oficial con derechos en tu país, a la que llegas desde tu propio marcador o desde una tienda de apps oficial, nunca desde un anuncio, un mensaje directo o un enlace de resultados de búsqueda. Consulta el calendario y los socios de emisión oficiales en fifa.com. Si lo quieres en el móvil, instala la app real de la emisora desde Google Play o la App Store, donde la app se filtra contra malware. Ninguna forma legítima de verlo implica instalar un APK de lado ni conceder acceso de Accesibilidad. Si una oferta exige cualquiera de las dos cosas, es la estafa.

¿Qué hago si ya instalé una app falsa de stream del Mundial?

Pon el teléfono en modo avión, luego revoca el permiso de Accesibilidad de la app en Ajustes y desinstálala, usando el Modo seguro si bloquea la eliminación. Desde un dispositivo distinto y limpio, cambia la contraseña del banco y llama a la línea de fraude de tu banco. Vuelve a configurar tu app de autenticación en el dispositivo limpio. Un restablecimiento de fábrica es la forma más segura de asegurarte de que el troyano se fue. Si tienes cripto, trata como comprometida cualquier frase semilla que haya tocado el teléfono y mueve los fondos a un monedero nuevo ahora. Reporta la app a la OSI (017) o a la policía cibernética de tu país, y reporta las cuentas falsas a las plataformas que las alojaron.

Última actualización: 14 de junio de 2026