AWAKE es una wiki especializada en seguridad de Android que documenta malware, exploits, técnicas de ataque y actores de amenazas, enfocada en cómo se rompen las protecciones (no en defensa). Incluye más de 30 técnicas de ataque, 80 familias de malware, 50 permisos abusados, herramientas de reversing, packers, grayware y análisis de la seguridad de la plataforma Android, dirigida a investigadores, pentesters y analistas de amenazas.

Una alerta FLASH del FBI (FLASH-20260219-001) del 19 de febrero de 2026 advierte a bancos y operadores de cajeros automáticos sobre un aumento en los ataques de "jackpotting" habilitados por malware, donde delincuentes explotan el acceso físico y brechas de software para hacer que las máquinas dispensan dinero sin una transacción real, un patrón que ahora se observa en todo Estados Unidos.

El FBI emitió una advertencia pública, señalando que los incidentes de "jackpotting" en cajeros automáticos han aumentado exponencialmente en 2025. Según el informe, los ciberdelincuentes han robado 20 millones de dólares mediante ataques de malware que obligan a las máquinas a dispensar dinero en efectivo de forma descontrolada. Este esquema, que afecta principalmente a bancos y operadores de cajeros, ha generado graves pérdidas financieras y preocupaciones en el sector.

Una vulnerabilidad crítica en el software de soporte remoto de BeyondTrust está siendo explotada activamente por hackers para instalar peligrosos backdoors en sistemas comprometidos. La falla, identificada como CVE-2026-1731, tiene una puntuación CVSS de 9.9 y permite a los atacantes ejecutar comandos del sistema sin necesidad de iniciar sesión. BeyondTrust publicó un aviso de seguridad el 6 de febrero de 2026

Microsoft alerta sobre ClickFix, una técnica de ingeniería social que engaña a usuarios de Windows y Mac para ejecutar comandos maliciosos mediante DNS, descargando malware como ModeloRAT o Lumma Stealer. Se distribuye vía phishing, malvertising o CAPTCHAs falsos, con variantes como FileFix o CrashFix. Los atacantes usan dominios antiguos y herramientas como CastleLoader para evadir detecciones, afectando principalmente a India, EE.UU. y Europa. La amenaza explota la confianza del usuario y prioriza el robo de criptomonedas, incluso en Mac, donde los cibercriminales firman malware con certificados válidos de Apple.

El malware Massiv es un troyano bancario para Android que se hace pasar por una app de IPTV para robar ahorros mediante control remoto de dispositivos, ataques de superposición y fraudes en cuentas bancarias, afectando principalmente a usuarios en Europa (España, Portugal, Francia). Utiliza técnicas avanzadas como registro de teclas, interceptación de SMS y acceso directo al dispositivo, permitiendo a los ciberdelincuentes abrir cuentas fraudulentas y eludir verificaciones KYC. No está vinculado a otras amenazas conocidas y su distribución aprovecha la costumbre de instalar apps fuera de tiendas oficiales, lo que lo hace especialmente peligroso.

La primera familia de malware para Android conocida que utiliza un modelo de IA generativa, específicamente Google Gemini, como parte de su flujo de ejecución activo. Descubierto en febrero de 2026, este malware representa un paso evolutivo significativo en las amenazas móviles y sigue al hallazgo previo de ESET de PromptLock, el primer ransomware impulsado por IA, en agosto de 2025. PromptSpy fue descubierto por un investigador de ESET

Kaspersky ha detectado malware preinstalado en tablets Android baratos de marcas desconocidas, permitiendo control total del dispositivo y robo de datos personales y financieros.

Una vulnerabilidad de Microsoft Windows que llevaba mucho tiempo inactiva, CVE-2008-0015, ha sido añadida al catálogo de Vulnerabilidades Explotadas Conocidas (KEV) tras evidencias de explotación activa en la naturaleza. La falla, revelada por primera vez hace más de una década, afecta al componente Control ActiveX de Windows Video y representa un grave riesgo de Ejecución Remota de Código (RCE).

Una sofisticada nueva puerta trasera de Android infecta el firmware del dispositivo en la etapa de construcción y se propaga a través de aplicaciones de Google Play, permitiendo a los atacantes tomar el control remoto de tablets y teléfonos de las víctimas. Publicado el 16 de febrero de 2026, su análisis detallado revela cómo esta amenaza imita al troyano Triada al engancharse al proceso Zygote, comprometiendo cada aplicación lanzada .

Una extensión maliciosa de Chrome que afirma ayudar a los usuarios de Meta Business roba silenciosamente los códigos 2FA del Facebook Business Manager y datos analíticos, poniendo en riesgo de toma de control cuentas publicitarias de alto valor. La extensión, llamada “CL Suite by @CLMasters” (ID: jkphinfhmfkckkcnifhjiplhfoiefffl), aún está disponible en la Chrome Web Store y apunta específicamente a entornos de Meta Business Suite y Facebook Business Manager.

Ha surgido una peligrosa nueva versión del ransomware LockBit, que está atacando múltiples sistemas operativos y amenazando a empresas en todo el mundo. LockBit 5.0, lanzada en septiembre de 2025, representa una gran actualización de una de las familias de ransomware más activas en los últimos años. Esta versión es compatible con plataformas Windows, Linux y ESXi, lo que la convierte en una amenaza versátil capaz de atacar diversos entornos.

Una nueva evolución en la campaña de ingeniería social ClickFix, que ahora emplea una técnica personalizada de secuestro de DNS para distribuir malware. Este método de ataque engaña a los usuarios para que ejecuten comandos maliciosos que utilizan búsquedas de DNS para obtener la siguiente fase de la infección, permitiendo a los atacantes eludir los métodos tradicionales de detección y mezclarse con el tráfico normal de la red.

Google alerta a millones de usuarios de Android sobre riesgos de malware y espionaje, recomendando comprar un móvil nuevo al no poder garantizar su seguridad en dispositivos antiguos.

Resumen: Ibai Castells presenta una cronología detallada de técnicas de evasión de EDR, desde inyección de procesos hasta evasiones basadas en IA, destacando la evolución de métodos como llamadas al sistema directas/indirectas, suplantación de pilas de llamadas y técnicas VEH, esencial para equipos rojos y profesionales de seguridad ofensiva en la carrera armamentista entre atacantes y defensores.

El análisis de WindShock revela que las técnicas de evasión de EDR y antivirus entre 2020 y 2025 han evolucionado desde la ofuscación de malware hasta explotar debilidades en los propios sistemas de seguridad, destacando métodos como BYOI (abuso de instaladores legítimos), BYOVD (uso de drivers vulnerables firmados), DLL Hijacking/Side-Loading y el abuso de servicios del sistema (como Safe Mode), demostrando que los atacantes manipulan procesos confiables para neutralizar protecciones sin ser detectados, requiriendo mitigaciones integrales como monitorización de comportamiento y controles anti-manipulación.

Investigadores de LayerX descubrieron 30 extensiones falsas de IA en Chrome con 300.000 usuarios afectados, que robaban credenciales y correos electrónicos.

Actores de amenazas abusan de artefactos de Claude LLM y Google Ads en campañas ClickFix para distribuir malware de robo de información en macOS, engañando a más de 10.000 usuarios con guías falsas que instalan el infostealer MacSync mediante comandos maliciosos en la Terminal.