Accessibility Services Android (Servicios de Accesibilidad)

1.242.000 ataques. Esa fue la cifra de troyanos bancarios detectados en smartphones Android durante 2024, un aumento del 196% respecto al año anterior, según Kaspersky. La práctica totalidad de estos troyanos comparten un denominador común: abusan de los Accessibility Services (Servicios de Accesibilidad) de Android para obtener control absoluto del dispositivo. Una API pensada para personas con discapacidad visual se ha convertido en la puerta de entrada más explotada por el malware móvil en 2025-2026.

Definicion tecnica

Accessibility Services (Servicios de Accesibilidad Android) es una API del sistema operativo Android diseñada originalmente para asistir a usuarios con discapacidades visuales, motoras o cognitivas. Permite que una aplicación lea contenido de pantalla, intercepte eventos de interfaz, automatice pulsaciones y navegue entre apps sin intervención directa del usuario.

Uso legítimo vs abuso por malware:

Aspecto	Uso legítimo	Abuso por malware
Lectura pantalla	TalkBack lee texto para invidentes	Captura credenciales bancarias en tiempo real
Auto-click	Asistente automatiza gestos para usuarios motores	Confirma transferencias fraudulentas sin intervención
Captura texto	Dictado y transcripción para sordos	Keylogging de contraseñas, PINs y OTPs
Navegacion apps	Permite control por voz del dispositivo	Abre apps bancarias, ejecuta operaciones en segundo plano
Intercepcion notificaciones	Lee notificaciones en voz alta	Intercepta codigos OTP de SMS y push

Diferencia clave:

Permiso estándar Android: Acceso limitado a funciones específicas
Accessibility Service: Acceso prácticamente ilimitado a todo lo que el usuario ve, escribe y toca en el dispositivo

Como funciona: API de Accesibilidad Android en detalle

Arquitectura del servicio

Los Accessibility Services operan a nivel del framework de Android, ejecutándose como un servicio en segundo plano con privilegios elevados:

Sistema Android
├── AccessibilityManager (Framework)
│   ├── AccessibilityService (API)
│   │   ├── onAccessibilityEvent()  → Recibe TODOS los eventos UI
│   │   ├── findFocus()             → Lee campo con foco (passwords)
│   │   ├── performAction()         → Ejecuta clicks, scrolls, gestos
│   │   ├── getWindows()            → Lista todas las ventanas abiertas
│   │   └── getRootInActiveWindow() → Acceso completo arbol UI
│   │
│   ├── Capabilities configurables:
│   │   ├── canRetrieveWindowContent    → Leer TODA la pantalla
│   │   ├── canRequestFilterKeyEvents   → Keylogging completo
│   │   ├── canPerformGestures          → Simular toques usuario
│   │   └── canRequestTouchExplorationMode → Control tactil

Flujo de activacion (usuario legítimo vs malware)

Usuario legítimo (TalkBack):

Instalacion desde Play Store: App oficial Google, verificada y firmada
Activacion manual: Ajustes, Accesibilidad, TalkBack, Activar
Aviso del sistema: Android muestra advertencia explícita sobre los permisos
Funcion: Lee en voz alta el contenido de pantalla para usuarios invidentes

Malware (ejemplo Crocodilus):

Instalacion APK sideloaded: Distribuido via WhatsApp, Telegram o phishing SMS
Ingenieria social: App solicita accesibilidad con mensaje engañoso como “Necesario para funcionar correctamente”
Activacion por usuario: Víctima concede permisos sin comprender las implicaciones
Abuso total: Malware obtiene lectura de pantalla, keylogging, auto-click y control remoto

Permiso mas peligroso de Android

Conceder acceso a Accessibility Services equivale a entregar el control total del dispositivo. Una app con este permiso puede leer contraseñas mientras se escriben, capturar códigos OTP antes de que el usuario los vea y ejecutar transferencias bancarias de forma autónoma. Ninguna app legítima descargada fuera de Play Store debería solicitar este permiso.

Capacidades del malware con Accessibility Services

1. Keylogging en tiempo real

El malware intercepta cada pulsación de tecla mediante onAccessibilityEvent() con tipo TYPE_VIEW_TEXT_CHANGED, capturando texto escrito en cualquier campo (incluidos campos de contraseña) y enviándolo al servidor C2.

2. Lectura de pantalla (credential harvesting)

Utiliza getRootInActiveWindow() para recorrer el árbol de nodos de la interfaz y extraer texto de campos de contraseña, saldo bancario, números de tarjeta y códigos OTP mostrados en notificaciones.

3. Auto-click y automatización de transacciones

Ejecuta performAction(ACTION_CLICK) y performAction(ACTION_SET_TEXT) para rellenar formularios de transferencia con IBANs de cuentas mula y confirmar operaciones sin intervención del usuario.

4. Interceptación de 2FA y OTPs

Metodo 2FA	Vulnerabilidad via Accessibility
SMS OTP	Lee notificación SMS antes que el usuario, extrae código
Push notification	Intercepta y auto-confirma notificación de autenticación
App authenticator	Lee código TOTP directamente de pantalla de la app
Biometría	No puede bypassear directamente, pero espera a que usuario desbloquee

5. Bypass de restricciones de seguridad

Con Accessibility Services activo, el malware puede desactivar Play Protect navegando a los ajustes automáticamente, concederse más permisos aceptando diálogos por el usuario, impedir desinstalación cerrando la pantalla de Ajustes, y registrarse como administrador de dispositivo para persistencia.

Familias de malware que abusan Accessibility Services (2024-2026)

Crocodilus (2025 - Alto riesgo para España)

Target principal: Usuarios en España y Turquía (despues expandido a 8 paises)
Vector: APKs disfrazados de Google Chrome
Tecnica: Overlay + Accessibility para control remoto total (Device Takeover)
Peculiaridad: Muestra alerta falsa urgiendo a respaldar seed phrases de wallets cripto
Capacidades: Black screen overlay, keylogging, VNC remoto, captura Google Authenticator
Referencia: ThreatFabric, Marzo 2025

Godfather (2022-2026 - Evoluciona activamente)

Target: Mas de 400 apps bancarias globales, incluyendo 16 bancos españoles
Tecnica avanzada 2025: Virtualización para ejecutar apps bancarias dentro de contenedor controlado
Accessibility abuse: Intercepta Intent de lanzamiento de app bancaria y lo redirige a StubActivity virtualizada
Capacidades: Grabación pantalla, keylogging, VNC, inyección código en apps bancarias
Referencia: BleepingComputer, 2025

ERMAC 2.0 / 3.0 (2021-2026)

Target: Mas de 700 apps bancarias y financieras (version 3.0)
Tecnica: Overlay attack clasico + interceptacion SMS OTP
Propagacion en España: APKs distribuidos via WhatsApp (“Actualización Bizum”, “Seguridad BBVA”)
Renta: Modelo MaaS (Malware-as-a-Service) desde 3.000 dolares al mes
Referencia: Cyble Research, ThreatFabric

Xenomorph v3 (2022-2025)

Target: Apps bancarias europeas (incluye CaixaBank, Sabadell, ING)
Tecnica: ATS (Automated Transfer System) via Accessibility
Peligro: Ejecuta transferencias bancarias de forma completamente automatica sin intervencion humana
Distribucion: Play Store (apps camufladas como optimizadores de rendimiento)
Referencia: ThreatFabric, Hadoken Security Group

Malware-as-a-Service (MaaS)

La mayoría de troyanos bancarios modernos se venden como servicio en foros de la dark web. ERMAC 2.0 se alquila por 3.000 dolares al mes, Xenomorph por 7.000 dolares y Godfather por 10.000-15.000. Esto significa que cualquier delincuente sin conocimientos técnicos puede lanzar campañas contra bancos españoles simplemente pagando una suscripcion.

Restricciones de Google y cómo las evade el malware

Android 13+ Restricted Settings

Google introdujo en Android 13 (API 33) una restricción llamada “Restricted Setting” que impide a apps instaladas fuera de Play Store (sideloaded) activar Accessibility Services.

Bypass documentado (BleepingComputer, 2022): Los desarrolladores de malware descubrieron que apps instaladas via “session-based package installer” (en lugar del intent estándar) no están sujetas a esta restricción. Los droppers de malware simplemente cambiaron su metodo de instalación para evadir el control.

API 31+ setHideOverlayWindows

Android 12 (API 31) introdujo setHideOverlayWindows(true) que permite a apps bancarias ocultar y eliminar ventanas overlay no pertenecientes al sistema. Es la defensa mas efectiva actualmente, pero requiere que cada app bancaria la implemente individualmente.

Google Play Protect

Detecta entre 30-50% de variantes conocidas de troyanos bancarios
Variantes nuevas pasan inadvertidas durante los primeros 7-15 dias
No puede desactivar un Accessibility Service ya concedido por el usuario

Resultado neto: Las restricciones de Google dificultan pero no impiden el abuso. El vector principal sigue siendo la ingeniería social para que el usuario conceda el permiso manualmente.

Deteccion forense de abuso de Accessibility Services

1. Verificar servicios de accesibilidad activos

# Listar Accessibility Services habilitados
adb shell settings get secure enabled_accessibility_services
# Detalle del servicio de accesibilidad
adb shell dumpsys accessibility
# Filtrar logcat por eventos de accesibilidad
adb logcat -d | grep -i "accessibility"
# Verificar paquetes con permisos peligrosos
adb shell dumpsys package | grep -A 5 "BIND_ACCESSIBILITY_SERVICE"

2. Artefactos forenses clave

Artefacto	Ubicacion	Informacion
Servicios habilitados	`settings get secure enabled_accessibility_services`	Lista de apps con accesibilidad activa
Permisos concedidos	`/data/system/appops.xml`	Historial de permisos con timestamps
Paquetes instalados	`/data/system/packages.list`	Apps instaladas con fecha y origen
Logs accesibilidad	`logcat` filtro “accessibility”	Eventos y activaciones del servicio
Conexiones red	`/proc/net/tcp`	Conexiones C2 activas del malware
APK malicioso	`/data/app/[package]/base.apk`	Binario para análisis estático

3. Analisis APK sospechoso con Androguard

from androguard.core.apk import APK
from androguard.misc import AnalyzeAPK

a, d, dx = AnalyzeAPK("sospechoso.apk")

# Verificar si solicita Accessibility Service
permisos = a.get_permissions()
if "android.permission.BIND_ACCESSIBILITY_SERVICE" in permisos:
    print("ALERTA: App solicita Accessibility Service")

# Buscar configuracion y capacidades en AndroidManifest
manifest = a.get_android_manifest_xml()
for elem in manifest.iter():
    if "accessibilityService" in str(elem.tag):
        print(f"Capabilities: {elem.attrib}")

Caso de estudio: Crocodilus en España (2025)

Nota: El siguiente caso está basado en investigaciones documentadas por ThreatFabric y fuentes de ciberseguridad. Los datos técnicos son reales; los detalles personales han sido anonimizados.

Contexto

En marzo de 2025, ThreatFabric documentó un nuevo troyano bancario denominado Crocodilus que atacaba específicamente a usuarios en España y Turquía. El malware se distribuía como APK disfrazado de Google Chrome, solicitando Accessibility Services como paso obligatorio tras la instalación.

Vector de ataque

Distribucion: SMS phishing simulando ser alerta de seguridad bancaria con enlace a APK
Instalacion: Víctima descarga “Chrome_Seguridad.apk” e instala desde fuentes desconocidas
Activacion accesibilidad: App muestra pantalla convincente indicando que el permiso es necesario
Conexion C2: Malware contacta servidor de control y recibe lista de apps bancarias objetivo
Overlay + Accessibility: Al abrir app bancaria, Crocodilus superpone pantalla falsa y captura credenciales
Device Takeover: Con credenciales y OTP interceptados, ejecuta transferencias desde el dispositivo de la víctima

Datos tecnicos

Capacidades documentadas: Remote control, black screen overlay, keylogging via accessibility, intercepcion notificaciones, auto-concesion permisos adicionales
Expansion: De España y Turquía a 8 países en menos de 3 meses (junio 2025)
Evasion: Bypass de Android 13 Restricted Settings mediante session-based installer
Targeting cripto: Alerta falsa “Haga backup de su clave de wallet en 12 horas” para robar seed phrases

Resultado forense

El análisis de dispositivos infectados reveló:

Accessibility Service activo: com.chrome.devtools.accessibility/com.crocodi.service
23 permisos peligrosos concedidos
Conexiones salientes a IPs en Turquía (C2)
Logs de overlay sobre apps BBVA, Santander y CaixaBank

Marco legal español

Delitos tipificados

Código Penal español:

Art. 197.1 CP - Descubrimiento y revelación de secretos
- Interceptar comunicaciones personales o acceder a datos sin consentimiento
- Pena: 1-4 años de prisión + multa 12-24 meses
- Aplicacion: El malware que abusa de Accessibility Services accede a datos personales, credenciales y comunicaciones sin consentimiento
Art. 197 bis CP - Acceso ilícito a sistemas informáticos
- Acceso sin autorización vulnerando medidas de seguridad
- Pena: 6 meses-2 años de prisión
- Aplicacion: El abuso de Accessibility constituye acceso no autorizado al dispositivo
Art. 248 CP - Estafa informática
- Manipulación informática para transferencia patrimonial no consentida
- Pena: 6 meses-3 años; si supera 50.000 euros: 1-6 años
- Aplicacion: Las transferencias automatizadas via Accessibility son estafa agravada
Art. 264 CP - Daños informáticos
- Borrado, deterioro o inaccesibilidad de datos ajenos
- Pena: 6 meses-3 años de prisión

RGPD y proteccion de datos

El abuso de Accessibility Services implica tratamiento ilícito de datos personales (Art. 6 RGPD). Las entidades bancarias que no implementan protección setHideOverlayWindows() podrían incurrir en responsabilidad por medidas de seguridad insuficientes (Art. 32 RGPD).

LECrim y prueba digital

La evidencia de abuso de Accessibility Services (logs, APKs, conexiones C2) es admisible como prueba digital conforme al Art. 299 LECrim, siempre que se preserve la cadena de custodia durante la extracción forense del dispositivo.

Herramientas de analisis forense

Analisis estático APK

APKTool: Decompilación y extracción de recursos del APK
Jadx: Decompilación a código Java legible
Androguard: Análisis automatizado de permisos y componentes
VirusTotal: Detección multi-motor antivirus

Analisis dinámico

Frida: Instrumentación runtime para hooking de funciones
MobSF: Mobile Security Framework, análisis estático y dinámico automatizado
Objection: Bypass SSL pinning y exploración en runtime

Extraccion forense

ADB (Android Debug Bridge): Extracción de logs, paquetes y configuración. Ver ADB
Cellebrite UFED: Extracción física completa de dispositivos Android
Magnet AXIOM: Análisis timeline y correlación de artefactos

Prevencion y deteccion

Señales de alarma para usuarios

Una app es sospechosa si:

Se descargó fuera de Google Play Store (APK vía WhatsApp, Telegram, SMS)
Solicita activar “Servicios de accesibilidad” sin justificación clara
Pide permiso para “mostrarse sobre otras apps” (overlay)
No aparece en la lista de apps del cajón de aplicaciones (se oculta)
El dispositivo se vuelve lento o la batería se agota rápidamente

Verificacion rápida del dispositivo

# Verificar Accessibility Services activos
# Ajustes > Accesibilidad > Apps instaladas

# Via ADB (si disponible):
adb shell settings get secure enabled_accessibility_services
# Si aparece alguna app que NO sea TalkBack, Switch Access
# o la app de accesibilidad del fabricante → SOSPECHOSO

Regla de oro

Ninguna app bancaria, de mensajería, de utilidad o de seguridad legítima necesita Accessibility Services para funcionar. Si una app lo solicita y no es un lector de pantalla oficial, rechaza el permiso y desinstálala inmediatamente.

Preguntas frecuentes

¿Qué son exactamente los Accessibility Services de Android?

Son una API del sistema operativo Android diseñada para ayudar a personas con discapacidad. Incluye funciones como lectura de pantalla (TalkBack), control por voz y asistencia de pulsaciones. El problema es que estas mismas capacidades (leer pantalla, capturar texto, simular toques) son exactamente lo que necesita un malware para robar credenciales bancarias.

¿Cómo sé si tengo un malware usando Accessibility Services en mi teléfono?

Accede a Ajustes, Accesibilidad, y revisa qué apps tienen el permiso activado. Solo deberían estar TalkBack (Google), Switch Access o herramientas de accesibilidad del fabricante. Cualquier otra app con este permiso activo es sospechosa. Via ADB puedes verificar con el comando adb shell settings get secure enabled_accessibility_services.

¿Las restricciones de Android 13 protegen contra este abuso?

Parcialmente. Android 13 introdujo “Restricted Settings” que impide a apps sideloaded activar accesibilidad. Sin embargo, los desarrolladores de malware ya demostraron en 2022 que pueden evadir esta restricción usando session-based package installers. La protección ayuda pero no es infalible.

¿Puede un antivirus móvil detectar este tipo de malware?

Los antivirus detectan entre 30-50% de variantes conocidas. Las variantes nuevas pasan desapercibidas los primeros 7-15 días. La mejor prevención es no instalar APKs fuera de Play Store y nunca conceder permisos de accesibilidad a apps no reconocidas.

¿Es posible recuperar el dinero robado mediante este tipo de malware?

Con un informe pericial forense que acredite la sofisticación del ataque (abuso de Accessibility Services, overlay attacks, interceptación de OTP), los bancos españoles suelen devolver entre el 60% y el 100% del importe defraudado. Sin informe pericial, el banco puede alegar negligencia del usuario.

Conceptos relacionados

Troyano bancario: Malware que utiliza Accessibility Services como vector principal de ataque
Overlay attack: Técnica de superposición de pantalla habilitada por permisos de accesibilidad
ADB (Android Debug Bridge): Herramienta principal para extracción forense de evidencia de abuso de accesibilidad
Análisis forense de malware: Disciplina que incluye el análisis de abuso de Accessibility Services
Técnicas anti-forense: Métodos que el malware usa para dificultar la detección forense

Referencias y fuentes

Kaspersky. (2025). “The mobile malware threat landscape in 2024”. Presentado en MWC Barcelona 2025. Disponible en: kaspersky.com
- 1.242.000 ataques de troyanos bancarios en Android (2024), aumento del 196%
Kaspersky Securelist. (2025). “IT threat evolution in Q1 2025. Mobile statistics”. Disponible en: securelist.com
- 12.184.351 ataques móviles en Q1 2025; troyanos bancarios 27,31% del total
ThreatFabric. (2025). “Exposing Crocodilus: New Device Takeover Malware”. Disponible en: threatfabric.com
- Crocodilus: troyano bancario dirigido a España y Turquía via Accessibility Services
ThreatFabric. (2025). “Crocodilus Mobile Malware: Evolving Fast, Going Global”. Disponible en: threatfabric.com
- Expansion de Crocodilus a 8 paises en 3 meses
BleepingComputer. (2025). “Godfather Android malware now uses virtualization”. Disponible en: bleepingcomputer.com
- Godfather: virtualización para hijack de apps bancarias via Accessibility
BleepingComputer. (2022). “Malware devs already bypassed Android 13’s new security feature”. Disponible en: bleepingcomputer.com
- Bypass de restricciones Android 13 Restricted Settings
Esper.io. (2022). “Android 13 Sideloading Restriction”. Disponible en: esper.io
- Análisis técnico de API 31+ setHideOverlayWindows
INCIBE. (2026). “Balance de ciberseguridad 2025”. Disponible en: incibe.es
- 122.223 ciberincidentes en España en 2025 (+26%)
PMC/Springer. (2020). “Reducing the Forensic Footprint with Android Accessibility Attacks”. Disponible en: pmc.ncbi.nlm.nih.gov
- 72% de apps financieras vulnerables a eavesdropping via accessibility; 80% de apps sociales
Appdome. (2025). “Protecting Android Apps from Accessibility Service Malware”. Disponible en: appdome.com
- Estrategias de protección para desarrolladores de apps bancarias
The Hacker News. (2025). “New Android Trojan Crocodilus Abuses Accessibility”. Disponible en: thehackernews.com
- Documentación técnica del abuso de Accessibility por Crocodilus
Código Penal español: Arts. 197 (descubrimiento de secretos), 197 bis (acceso ilícito), 248 (estafa), 264 (daños informáticos)

Ultima actualizacion: 12 Febrero 2026 Categoria: Técnico (TEC-015) Nivel tecnico: Avanzado Relevancia: Muy Alta (vector principal malware bancario Android 2025-2026)