Cómo eliminar el troyano FvncBot de tu dispositivo Android

¿Qué tipo de malware es FvncBot?

FvncBot es un troyano que ataca los sistemas operativos Android. Se trata de un programa malicioso multifuncional que puede ejecutar diversos comandos en los dispositivos infectados y realizar ataques de superposición. En otoño de 2025, se descubrió que FvncBot se distribuía bajo la apariencia de una aplicación asociada a mBank, el cuarto grupo bancario universal más grande de Polonia.

Descripción general del malware FvncBot

La cadena de infección de FvncBot se inicia mediante un cargador. Disfrazado como «Klucz bezpieczeństwa Mbank» («Clave de seguridad Mbank»), el cargador solicita instalar un «componente Play» para garantizar el funcionamiento seguro y estable de la aplicación («Komponent Play zapewnia bezpieczna i stabilna funkcjonalnosé aplikacji»). Tras la instalación, se indica a los usuarios que pulsen «AKTYWUJ» («Activar») y, de este modo, ejecuten FvncBot.

Al igual que la mayoría de los programas maliciosos específicos para Android, este malware aprovecha los servicios de accesibilidad de Android, que están destinados a proporcionar asistencia adicional con la interacción del dispositivo a los usuarios que lo necesitan. Son capaces de leer la pantalla, proporcionar entradas de teclado, simular la pantalla táctil e interactuar con el dispositivo de otras formas; por lo tanto, el software malicioso que abusa de estos servicios obtiene toda su funcionalidad.

FvncBot utiliza varias técnicas antidetección, entre ellas la ofuscación de código y la capacidad de eludir las restricciones de los servicios de accesibilidad para los sistemas operativos Android 13 y posteriores. Una vez infiltrado, FvncBot proporciona instrucciones detalladas sobre cómo habilitar los servicios de accesibilidad de Android.

A continuación, el troyano establece comunicación con su servidor C&C (Comando y Control). Algunos de los comandos que FvncBot puede ejecutar incluyen: obtener una lista de las aplicaciones instaladas, abrir aplicaciones (incluida la pantalla de inicio, la configuración del sistema, etc.), cambiar el nivel de volumen, silenciar/activar el sonido del dispositivo, abrir la barra de notificaciones, bloquear/desbloquear el dispositivo, realizar gestos (por ejemplo, hacer clic, deslizar, desplazarse, etc.), simular el teclado, pegar texto en campos de entrada y en el portapapeles, realizar capturas de pantalla, registrar pulsaciones de teclas (keylogging), mostrar superposiciones, etc.

La capacidad del malware para llevar a cabo ataques de superposición es su funcionalidad clave. Cuando una víctima abre una aplicación específica, FvncBot la superpone con una pantalla de phishing que registra los datos introducidos en ella (por ejemplo, credenciales de inicio de sesión, información de identificación personal, números de tarjetas de crédito/débito, etc.). Alternativamente, el malware podría mostrar una pantalla oscura para ocultar sus actividades (por ejemplo, transacciones fraudulentas, compras, etc.). Este troyano también puede transmitir la pantalla de la víctima, casi en tiempo real.

Cabe mencionar que los desarrolladores de malware suelen mejorar su software y sus técnicas. Por lo tanto, las posibles variantes futuras del troyano FvncBot podrían tener funcionalidades y características adicionales o diferentes.

En resumen, la presencia de software malicioso como FvncBot en los dispositivos puede provocar graves problemas de privacidad, pérdidas económicas y robo de identidad.

Ejemplos similares de malware

Hemos escrito sobre innumerables programas maliciosos; Sturnus, Klopatra y Datzbro son solo algunos de nuestros artículos más recientes sobre troyanos similares a FvncBot.

Malware es un término amplio que abarca software con una variedad de funcionalidades maliciosas. Estos programas pueden ser multifuncionales o tener un propósito específico y limitado. Sin embargo, independientemente de cómo funcione un software malicioso, su presencia en un sistema pone en peligro la integridad del dispositivo y la seguridad del usuario. Por lo tanto, todas las amenazas deben eliminarse inmediatamente tras su detección.

¿Cómo se infiltró FvncBot en mi dispositivo?

Se ha observado que FvncBot se ha propagado bajo la apariencia de una aplicación de seguridad de Mbank. Sin embargo, se desconoce el método de distribución. Por lo general, el malware se propaga mediante tácticas de phishing e ingeniería social.

Las técnicas de proliferación más frecuentes incluyen: fuentes de descarga sospechosas (por ejemplo, sitios de software gratuito y alojamiento de archivos gratuito, redes de intercambio P2P, tiendas de aplicaciones de terceros, etc.), descargas drive-by (sigilosas/engañosas), publicidad maliciosa, archivos adjuntos o enlaces maliciosos en spam (por ejemplo, correos electrónicos, mensajes privados/directos, publicaciones en redes sociales, SMS, etc.), estafas en línea, contenido pirateado, herramientas de activación de software ilegal («cracks») y actualizaciones falsas.

Algunos programas maliciosos pueden propagarse por sí mismos a través de redes locales y dispositivos de almacenamiento extraíbles (por ejemplo, discos duros externos, memorias USB, etc.).

¿Cómo evitar la instalación de malware?

La precaución es fundamental para garantizar la seguridad del dispositivo y del usuario. Por lo tanto, investigue siempre el software leyendo los términos y las reseñas de expertos/usuarios, revisando los permisos necesarios y verificando los permisos del desarrollador. Descargue solo de fuentes oficiales y verificadas. Active y actualice los programas utilizando funciones/herramientas legítimas, ya que las adquiridas de terceros pueden contener malware.

Manténgase alerta cuando navegue por Internet, ya que está plagado de contenido engañoso y malicioso. No abra archivos adjuntos ni enlaces que se encuentren en comunicaciones sospechosas o irrelevantes (por ejemplo, correos electrónicos, mensajes privados o directos, SMS, etc.).

Es fundamental tener instalado un antivirus de confianza y mantenerlo actualizado. Se debe utilizar software de seguridad para realizar análisis periódicos del sistema y eliminar las amenazas detectadas.

Pasos proporcionados por el cargador para instalar el troyano FvncBot (fuente de la imagen: Intel 471 Blog):

Pasos proporcionados por el troyano FvncBot para habilitar los servicios de accesibilidad (fuente de la imagen: blog Intel 471):

Menú rápido:

• Introducción
• ¿Cómo eliminar el historial de navegación del navegador web Chrome?
• ¿Cómo desactivar las notificaciones del navegador web Chrome?
• ¿Cómo restablecer el navegador web Chrome?
• ¿Cómo eliminar el historial de navegación del navegador web Firefox?
• ¿Cómo desactivar las notificaciones del navegador web Firefox?
• ¿Cómo restablecer el navegador web Firefox?
• ¿Cómo desinstalar aplicaciones potencialmente no deseadas y/o maliciosas?
• ¿Cómo arrancar el dispositivo Android en «modo seguro»?
• ¿Cómo comprobar el uso de batería de varias aplicaciones?
• ¿Cómo comprobar el uso de datos de varias aplicaciones?
• ¿Cómo instalar las últimas actualizaciones de software?
• ¿Cómo restablecer el sistema a su estado predeterminado?
• ¿Cómo desactivar las aplicaciones que tienen privilegios de administrador?

Eliminar el historial de navegación del navegador web Chrome:

Pulsa el botón «Menú» (tres puntos en la esquina superior derecha de la pantalla) y selecciona «Historial» en el menú desplegable que se abre.

Pulsa «Borrar datos de navegación», selecciona la pestaña «AVANZADO», elige el intervalo de tiempo y los tipos de datos que deseas eliminar y pulsa «Borrar datos».

[Volver al índice]

Desactivar las notificaciones del navegador en el navegador web Chrome:

Pulsa el botón «Menú» (tres puntos en la esquina superior derecha de la pantalla) y selecciona «Configuración» en el menú desplegable que se abre.

Desplácese hacia abajo hasta que vea la opción «Configuración del sitio» y pulse sobre ella. Desplácese hacia abajo hasta que vea la opción «Notificaciones» y pulse sobre ella.

Busca los sitios web que envían notificaciones del navegador, pulsa sobre ellos y haz clic en «Borrar y restablecer». Esto eliminará los permisos concedidos a estos sitios web para enviar notificaciones. Sin embargo, cuando vuelvas a visitar el mismo sitio, es posible que te vuelva a solicitar permiso. Puede elegir si desea conceder estos permisos o no (si decide rechazarlos, el sitio web pasará a la sección «Bloqueado» y ya no le volverá a solicitar el permiso).

[Volver al índice]

Restablecer el navegador web Chrome:

Ve a «Configuración», desplázate hacia abajo hasta que veas «Aplicaciones» y pulsa sobre ella.

Desplácese hacia abajo hasta encontrar la aplicación «Chrome», selecciónela y pulse la opción «Almacenamiento».

Pulsa «GESTIONAR ALMACENAMIENTO», luego «BORRAR TODOS LOS DATOS» y confirma la acción pulsando «ACEPTAR». Ten en cuenta que al restablecer el navegador se eliminarán todos los datos almacenados en él. Esto significa que se borrarán todos los inicios de sesión/contraseñas guardados, el historial de navegación, la configuración no predeterminada y otros datos. También tendrás que volver a iniciar sesión en todos los sitios web.

[Volver al índice]

Eliminar el historial de navegación del navegador web Firefox:

Pulsa el botón «Menú» (tres puntos en la esquina superior derecha de la pantalla) y selecciona «Historial» en el menú desplegable que se abre.

Desplácese hacia abajo hasta que vea «Borrar datos privados» y pulse sobre ello. Seleccione los tipos de datos que desea eliminar y pulse «BORRAR DATOS».

[Volver al índice]

Desactivar las notificaciones del navegador web Firefox:

Visite el sitio web que envía notificaciones del navegador, pulse el icono que aparece a la izquierda de la barra de direcciones URL (el icono no tiene por qué ser necesariamente un «Candado») y seleccione «Editar configuración del sitio».

En la ventana emergente que se abre, selecciona la opción «Notificaciones» y pulsa «BORRAR».

[Volver al índice]

Restablecer el navegador web Firefox:

Ve a «Configuración», desplázate hacia abajo hasta que veas «Aplicaciones» y pulsa sobre ella.

Desplázate hacia abajo hasta encontrar la aplicación «Firefox», selecciónala y pulsa la opción «Almacenamiento».

Pulsa «BORRAR DATOS» y confirma la acción pulsando «ELIMINAR». Ten en cuenta que al restablecer el navegador se eliminarán todos los datos almacenados en él. Esto significa que se borrarán todos los inicios de sesión/contraseñas guardados, el historial de navegación, la configuración no predeterminada y otros datos. También tendrás que volver a iniciar sesión en todos los sitios web.

[Volver al índice]

Desinstalar aplicaciones potencialmente no deseadas y/o maliciosas:

Ve a «Configuración», desplázate hacia abajo hasta que veas «Aplicaciones» y pulsa sobre ella.

Desplácese hacia abajo hasta que vea una aplicación potencialmente no deseada y/o maliciosa, selecciónela y pulse «Desinstalar». Si, por alguna razón, no puede eliminar la aplicación seleccionada (por ejemplo, si aparece un mensaje de error), debe intentar utilizar el «Modo seguro».

[Volver al índice]

Inicie el dispositivo Android en «modo seguro»:

El «Modo seguro» del sistema operativo Android desactiva temporalmente todas las aplicaciones de terceros. Utilizar este modo es una buena forma de diagnosticar y resolver diversos problemas (por ejemplo, eliminar aplicaciones maliciosas que impiden a los usuarios hacerlo cuando el dispositivo funciona «normalmente»).

Pulse el botón «Encendido» y manténgalo pulsado hasta que aparezca la pantalla «Apagar». Toque el icono «Apagar» y manténgalo pulsado. Tras unos segundos, aparecerá la opción «Modo seguro» y podrá ejecutarla reiniciando el dispositivo.

[Volver al índice]

Comprueba el uso de batería de varias aplicaciones:

Ve a «Configuración», desplázate hacia abajo hasta que veas «Mantenimiento del dispositivo» y pulsa sobre él.

Toca «Batería» y comprueba el uso de cada aplicación. Las aplicaciones legítimas/auténticas están diseñadas para consumir la menor energía posible con el fin de proporcionar la mejor experiencia al usuario y ahorrar energía. Por lo tanto, un uso elevado de la batería puede indicar que la aplicación es maliciosa.

[Volver al índice]

Comprueba el uso de datos de varias aplicaciones:

Ve a «Configuración», desplázate hacia abajo hasta que veas «Conexiones» y pulsa sobre ello.

Desplácese hacia abajo hasta que vea «Uso de datos» y seleccione esta opción. Al igual que con la batería, las aplicaciones legítimas/auténticas están diseñadas para minimizar el uso de datos en la medida de lo posible. Esto significa que un uso excesivo de datos puede indicar la presencia de una aplicación maliciosa. Tenga en cuenta que algunas aplicaciones maliciosas pueden estar diseñadas para funcionar solo cuando el dispositivo está conectado a una red inalámbrica. Por este motivo, debe comprobar tanto el uso de datos móviles como el de Wi-Fi.

Si encuentra una aplicación que consume muchos datos aunque nunca la utilice, le recomendamos encarecidamente que la desinstale lo antes posible.

[Volver al índice]

Instala las últimas actualizaciones de software:

Mantener el software actualizado es una buena práctica en lo que respecta a la seguridad de los dispositivos. Los fabricantes de dispositivos lanzan continuamente diversos parches de seguridad y actualizaciones de Android con el fin de corregir errores y fallos que pueden ser aprovechados por los ciberdelincuentes. Un sistema obsoleto es mucho más vulnerable, por lo que siempre debes asegurarte de que el software de tu dispositivo esté actualizado.

Ve a «Configuración», desplázate hacia abajo hasta que veas «Actualización de software» y pulsa sobre ella.

Pulsa «Descargar actualizaciones manualmente» y comprueba si hay actualizaciones disponibles. Si es así, instálalas inmediatamente. También recomendamos habilitar la opción «Descargar actualizaciones automáticamente», que permitirá al sistema notificarte cuando se publique una actualización y/o instalarla automáticamente.

[Volver al índice]

Restablecer el sistema a su estado predeterminado:

Realizar un «Restablecimiento de fábrica» es una buena forma de eliminar todas las aplicaciones no deseadas, restaurar la configuración predeterminada del sistema y limpiar el dispositivo en general. Sin embargo, debe tener en cuenta que se eliminarán todos los datos del dispositivo, incluidas las fotos, los archivos de vídeo/audio, los números de teléfono (almacenados en el dispositivo, no en la tarjeta SIM), los mensajes SMS, etc. En otras palabras, el dispositivo se restaurará a su estado original.

También puede restaurar la configuración básica del sistema y/o simplemente la configuración de red.

Ve a «Configuración», desplázate hacia abajo hasta que veas «Acerca del teléfono» y pulsa sobre él.

Desplácese hacia abajo hasta que vea «Restablecer» y púlsela. Ahora elija la acción que desea realizar:
«Restablecer ajustes»: restaura todos los ajustes del sistema a los valores predeterminados;
« Restablecer configuración de red»: restaura todos los ajustes relacionados con la red a los valores predeterminados;
«Restablecimiento de datos de fábrica»: restablece todo el sistema y elimina por completo todos los datos almacenados;

[Volver al índice]

Desactive las aplicaciones que tienen privilegios de administrador:

Si una aplicación maliciosa obtiene privilegios de administrador, puede dañar gravemente el sistema. Para mantener el dispositivo lo más seguro posible, siempre debes comprobar qué aplicaciones tienen esos privilegios y desactivar las que no deberían tenerlos.

Ve a «Configuración», desplázate hacia abajo hasta que veas «Pantalla de bloqueo y seguridad» y pulsa sobre ella.

Desplázate hacia abajo hasta que veas «Otros ajustes de seguridad», pulsa sobre él y, a continuación, pulsa sobre «Aplicaciones de administración del dispositivo».

Identifique las aplicaciones que no deberían tener privilegios de administrador, pulse sobre ellas y, a continuación, pulse «DESACTIVAR».

Preguntas frecuentes (FAQ)

Mi dispositivo Android está infectado con el malware FvncBot, ¿debo formatear mi dispositivo de almacenamiento para eliminarlo?

La eliminación de malware rara vez requiere formatear.

¿Cuáles son los mayores problemas que puede causar el malware FvncBot?

Las amenazas asociadas a una infección varían en función de las capacidades del malware y los objetivos de los atacantes. FvncBot es un troyano que puede transmitir en streaming las pantallas de las víctimas, mostrar superposiciones de phishing, registrar las pulsaciones del teclado y realizar otras acciones maliciosas. Por lo general, el malware de alto riesgo está relacionado con graves problemas de privacidad, pérdidas económicas y robo de identidad.

¿Cuál es el propósito del malware FvncBot?

El malware se utiliza principalmente con fines lucrativos. Otras posibles razones incluyen la interrupción de procesos (por ejemplo, sitios web, servicios, empresas, etc.), atacantes que buscan diversión o venganza personal, hacktivismo y motivaciones políticas o geopolíticas.

¿Cómo se infiltró el malware FvncBot en mi dispositivo Android?

Aunque se desconoce cómo se distribuye FvncBot, se ha camuflado como la aplicación de seguridad de mBank. Los métodos más utilizados para propagar malware son: publicidad maliciosa, correos electrónicos/mensajes spam, estafas en línea, descargas no solicitadas, fuentes de descarga dudosas, contenido pirateado, actualizadores falsos y herramientas ilegales de activación de software («cracks»). Algunos programas maliciosos pueden propagarse por sí mismos a través de redes locales y dispositivos de almacenamiento extraíbles.

¿Combo Cleaner me protegerá contra el malware?

Combo Cleaner es capaz de detectar y eliminar prácticamente todas las infecciones de malware conocidas. Recuerde que es esencial realizar un análisis completo del sistema, ya que los programas maliciosos sofisticados tienden a ocultarse en lo más profundo de los sistemas.