¿Tu teléfono se actualiza solo? Podría ser el virus Oblivion que está tomando el control del sistema

En foros clandestinos apareció en acceso abierto una nueva herramienta para el hackeo remoto de dispositivos Android, que ya se considera una de las más peligrosas de los últimos años. El malware llamado Oblivion se vende por suscripción y, según la evaluación de los especialistas de la empresa Certo, realmente es capaz de eludir los mecanismos de defensa de la mayoría de los smartphones modernos.

Oblivion pertenece a la clase RAT — troyanos de acceso remoto — que dan al atacante control total del dispositivo. El programa está diseñado para versiones de Android desde la 8 hasta la 16, por lo que abarca prácticamente todos los dispositivos actuales. El desarrollador promociona activamente el producto en un foro de hackers, acompañando el anuncio con un vídeo de demostración.

El paquete incluye un constructor de APK que permite crear la aplicación maliciosa sin conocimientos de programación. Se puede elegir el nombre, el icono y el modo de funcionamiento, disfrazando el archivo, por ejemplo, como "Google Services". Un módulo separado crea un llamado "dropper": un instalador que muestra una notificación falsa de actualización obligatoria a través de Google Play y persuade para activar la instalación desde orígenes desconocidos.

La característica clave de Oblivion es la concesión automática de permisos sin la participación del propietario del dispositivo. Normalmente Android exige confirmar manualmente el acceso a funciones sensibles, especialmente al servicio de accesibilidad. En este caso el malware, según afirma el vendedor y confirman los autores del análisis, suprime los diálogos del sistema. Se declara compatibilidad no solo con Android "puro", sino también con las capas personalizadas de grandes marcas: MIUI y HyperOS de Xiaomi, One UI de Samsung, ColorOS de OPPO, MagicOS de Honor y OxygenOS de OnePlus.

Al obtener acceso al servicio de accesibilidad, el programa obtiene de facto una llave universal del sistema. Puede leer el contenido de cualquier aplicación, interceptar datos introducidos, ocultar notificaciones y controlar la interfaz. Oblivion también usa una versión oculta de VNC: el atacante ve y controla el dispositivo en una sesión separada e invisible, mientras en la pantalla de la víctima se muestra, por ejemplo, una animación "System updating…". Un modo adicional permite evadir las protecciones de aplicaciones bancarias y de monederos de criptomonedas que bloquean la captura de pantalla.

El conjunto de funciones está orientado principalmente al robo de datos financieros. El malware lee y envía SMS, intercepta códigos de autenticación de dos factores, registra cada pulsación de tecla, accede a archivos y a la lista de aplicaciones instaladas. Si es necesario, puede desbloquear automáticamente el smartphone tras un reinicio utilizando el PIN o la contraseña interceptados.

Los desarrolladores prestaron atención también a la resistencia a la eliminación. El programa bloquea los intentos de revocar permisos, desactivar el servicio de accesibilidad o desinstalar la aplicación. Según el vendedor, la infraestructura es capaz de atender más de mil conexiones simultáneas, incluso a través de redes de anonimización.

Oblivion se distribuye por suscripción. El coste de acceso varía desde 300 dólares por mes hasta 2200 dólares por uso permanente. El código fuente no se entrega a los compradores: se proporciona acceso a un panel de control ya listo.

Según Certo, la combinación de elusión automática de restricciones, control remoto oculto y resistencia a la eliminación convierte a Oblivion en un desafío serio para la protección de la plataforma Android. Resulta especialmente llamativa la solución de evasión declarada para Android 16, donde Google reforzó el control del uso del servicio de accesibilidad. Como consecuencia, incluso un solo toque en una notificación falsa de actualización puede llevar a la compromisión total y silenciosa del dispositivo.