"Virus sexual" en tu smartphone: te contamos cómo un "troyano erótico" deja a tu Android indefenso
Prepárense: su dispositivo empezará a llevar una vida secreta.
El grupo StopLamers, anteriormente conocido en círculos reducidos por conflictos en IRC y ataques a comunidades, se ha convertido en los últimos años en una fuente de ciberamenazas más complejas y destructivas. Un nuevo análisis técnico de su actividad muestra la transición de vandalismo en la red a la creación de herramientas maliciosas para Linux y Android, así como al uso de canales de control ocultos y presión sobre las víctimas.
La actividad del grupo se rastrea desde 2020 hasta 2024. En su interior existe una jerarquía marcada con un líder que se hace llamar «califa Erzhan», y varios colaboradores cercanos. Los objetivos principales de los ataques están relacionados con comunidades de Linux, plataformas sociales alternativas, foros especializados y blogueros. La motivación combina trolleo ideológico, presión sobre miembros de comunidades y extorsión económica.
La herramienta clave es el troyano multietapas SeksVirus. La infección suele comenzar con la publicación de supuestas correcciones útiles para componentes del sistema y controladores. Los atacantes se hacen pasar por desarrolladores y distribuyen scripts con bloques de código cifrados. Tras la ejecución, el cargador despliega un módulo oculto en Python, se instala en directorios temporales y verifica el entorno. El código usa ofuscación con sustitución de caracteres y llamadas dinámicas a funciones, lo que dificulta el análisis.
Para el control se utiliza una infraestructura basada en Telegram Bot API. El programa malicioso recopila un perfil detallado del dispositivo, incluyendo información sobre la CPU, la versión del núcleo, las sesiones de usuario y signos de virtualización, y lo envía al operador. Está prevista la descarga de módulos adicionales para acceso remoto y control.
En años anteriores el grupo se destacó por ataques DDoS y por la defacement de sitios de comunidades Linux, así como por campañas masivas de spam en chats. Durante la investigación se registraron casos de chantaje y publicación de datos personales de las víctimas con demandas de pago. También se hallaron funciones de presión acústica mediante el control remoto del sonido en el dispositivo.
Desde 2024 se observa un giro hacia Android. Se distribuyen archivos maliciosos para el firmware a través de herramientas populares de modificación del sistema. Estos paquetes se disfrazan como actualizaciones útiles, pero en realidad sobrescriben particiones críticas de memoria, incluido el cargador de arranque y el módem. Esto provoca la inutilización completa del smartphone sin posibilidad de recuperación mediante los medios estándar. En las muestras se encontró un archivador modificado con un modo de extracción oculto que despliega un escenario destructivo adicional.
El análisis de fuentes abiertas señala la existencia de canales propios de coordinación, recursos en redes anónimas y un círculo estable de participantes. Los especialistas señalan que, aun con un nivel técnico medio, grupos como este pueden causar daños apreciables a comunidades nicho y a usuarios de firmwares alternativos. Los datos obtenidos ayudan a mejorar los métodos de detección de código ofuscado y el control de integridad de las particiones del sistema.