ATT&CK para Mobile: Amenazas en Android e iOS
Guía de MITRE ATT&CK Mobile: técnicas de ataque en dispositivos Android e iOS. Spyware, banking trojans, phishing móvil, acceso a sensores, exfiltración de datos y detección en entornos móviles corporativos.
La matriz Mobile de ATT&CK documenta cómo los adversarios comprometen dispositivos Android e iOS
Los dispositivos móviles son objetivos de alto valor: contienen email corporativo, MFA tokens, comunicaciones privadas, ubicación GPS y acceso a redes internas via VPN. La matriz Mobile de ATT&CK adapta las 14 tácticas al contexto móvil con técnicas específicas para Android e iOS, cubriendo desde la instalación de apps maliciosas hasta la exfiltración de datos via canales celulares.
Diferencias clave con Enterprise
| Aspecto | Enterprise (PC/Server) | Mobile |
|---|---|---|
| Acceso inicial | Phishing, exploit, credenciales | App maliciosa, phishing, zero-click exploit |
| Persistencia | Registry, services, scheduled tasks | Device admin, boot receiver, accessibility service |
| Escalada | Kernel exploit, UAC bypass | Root/jailbreak exploit |
| Evasión | Process injection, LOLBins | Obfuscation, native code, packing |
| Credential access | LSASS, Kerberos | Keylogging via accessibility, phishing overlay |
| C2 | HTTPS, DNS | HTTPS, SMS, push notifications |
| Exfiltración | Cloud storage, C2 channel | Celular, WiFi, SMS, cloud backup |
Tácticas Mobile específicas
Initial Access móvil
| Técnica | ID | Plataforma | Método |
|---|---|---|---|
| Deliver Malicious App via Store | T1475 | Android (raro iOS) | App maliciosa en Google Play |
| Deliver via Other Means | T1476 | Android | APK via phishing, link directo |
| Exploit via Charging Station | T1458 | Ambos | Juice jacking (USB) |
| Exploitation for Initial Access | T1664 | iOS | Zero-click exploit (iMessage, Safari) |
| Phishing | T1660 | Ambos | SMS phishing (smishing), email |
Zero-click exploits (iOS): Pegasus y Predator explotan vulnerabilidades en iMessage o WebKit que no requieren interacción del usuario. El atacante envía un mensaje que triggerea el exploit automáticamente.
Persistence móvil
| Técnica | ID | Plataforma | Método |
|---|---|---|---|
| Boot or Logon Initialization | T1398 | Android | App auto-inicia al boot (BOOT_COMPLETED receiver) |
| Foreground Persistence | T1541 | Android | Foreground service que no puede ser cerrado |
| Device Administrator | T1401 | Android | Permisos de device admin (difícil de desinstalar) |
Credential Access móvil
| Técnica | ID | Método |
|---|---|---|
| Input Capture: Keylogging | T1417.001 | Accessibility service captura pulsaciones |
| Input Capture: GUI Input Capture | T1417.002 | Overlay de login falso sobre app bancaria |
| Access Stored Credentials | T1634 | Acceder a keychain (iOS) o keystore (Android) |
| Clipboard Data | T1414 | Monitorizar portapapeles (contraseñas, OTP) |
Banking trojan overlay: El malware detecta que se abre la app del banco, superpone una pantalla de login idéntica, captura las credenciales y las envía al C2. Familias: Cerberus, SharkBot, Anatsa, TrickMo.
Collection y sensores
| Técnica | ID | Dato capturado |
|---|---|---|
| Audio Capture | T1429 | Micrófono (conversaciones) |
| Video Capture | T1512 | Cámara (fotos, video) |
| Location Tracking | T1430 | GPS, cell towers, WiFi |
| Call Log | T1433 | Historial de llamadas |
| Contact List | T1432 | Agenda de contactos |
| SMS Messages | T1636.004 | SMS enviados y recibidos |
| Calendar Entries | T1636.001 | Eventos del calendario |
| Capture Notifications | T1517 | Notificaciones (incluye OTP de MFA) |
Pegasus activa todas estas técnicas simultáneamente en el dispositivo objetivo.
Exfiltración móvil
| Técnica | Canal | Detección |
|---|---|---|
| Exfiltration Over C2 | HTTPS (WiFi/datos) | MTD traffic analysis |
| Exfiltration Over Alternative Protocol | SMS, Bluetooth | SMS to premium numbers, BT anomaly |
| Standard Application Layer Protocol | HTTP/HTTPS | Proxy/VPN monitoring |
Familias de malware móvil y mapping ATT&CK
| Familia | Plataforma | Tipo | Técnicas clave |
|---|---|---|---|
| Pegasus (NSO) | iOS, Android | Spyware estado | T1664, T1429, T1512, T1430, T1417 |
| Predator (Cytrox) | iOS, Android | Spyware comercial | T1664, T1429, T1430, T1517 |
| Cerberus/Alien | Android | Banking trojan | T1417.002, T1475, T1636.004 |
| SharkBot | Android | Banking trojan | T1417.002, T1541, T1517 |
| Anatsa (TeaBot) | Android | Banking trojan | T1417.002, T1475, T1636.004 |
| Hermit | Android, iOS | Spyware estado | T1476, T1429, T1512, T1430 |
| FluBot | Android | SMS trojan | T1636.004, T1660, T1476 |
Detección y defensa
Mobile Threat Defense (MTD)
Herramientas que monitorizan el dispositivo para detectar comportamiento malicioso: Lookout, Zimperium, CrowdStrike Falcon Mobile, Microsoft Defender for Endpoint (Mobile).
Controles corporativos
| Control | Efecto |
|---|---|
| MDM (Intune, JAMF, WS1) | Políticas de dispositivo, apps permitidas |
| MAM (Mobile Application Management) | Separar datos corporativos de personales |
| Root/jailbreak detection | Bloquear acceso corporativo si rooteado |
| App vetting | Analizar apps antes de permitir en store corporativo |
| OS patching SLA | Aplicar parches en < 30 días (críticos < 7 días) |
| Network monitoring | VPN corporativo con inspección de tráfico |
Conclusión
La matriz Mobile de ATT&CK es esencial para organizaciones que gestionan dispositivos móviles con datos corporativos. Los banking trojans (Android) y el spyware comercial (iOS/Android) son las amenazas dominantes. MTD + MDM + patching agresivo cubren la mayoría de los vectores. El siguiente artículo cubre ATT&CK para ICS/OT, la matriz para entornos industriales.
Fuentes y referencias
- MITRE ATT&CK: Mobile Matrix
- Amnesty International: "Forensic Methodology Report: Pegasus" (2021)
- ThreatFabric: Mobile Threat Landscape Reports (2024-2025)
- Google: Android Security Reports
- Lookout: "Mobile Threat Landscape" (2025)
Preguntas frecuentes
Artículos relacionados
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.