Lo + Nuevo
Tag

android

Browsing

Nueva amenaza en Android: “Klopatra”, el troyano bancario que hace más que vaciar cuentas

Un malware recién descubierto, bautizado como Klopatra, está causando dolores de cabeza en España y otros países. Se trata de una amenaza bastante avanzada que combina funciones de troyano bancario con capacidades de acceso remoto (RAT), algo así como regalarle las llaves de tu móvil a un desconocido… y encima dejarle café.

Esta nueva amenaza cibernética, que afecta a dispositivos Android, usa como puerta de entrada aplicaciones IPTV usadas para ver fútbol pirata
Esta nueva amenaza cibernética, que afecta a dispositivos Android, usa como puerta de entrada aplicaciones IPTV usadas para ver fútbol pirata

Según un informe reciente de Cleafy, más de 3.000 dispositivos ya han sido comprometidos, principalmente en España e Italia.


Un malware con aspiraciones profesionales

Lo que más preocupa a los expertos no es solo lo que roba, sino cómo lo hace. Klopatra viene equipado con técnicas modernas para esquivar antivirus y pasar desapercibido, mientras realiza operaciones financieras por su cuenta. Básicamente, trabaja solo… ojalá así fueran los compañeros del trabajo.

Este bicho no solo roba credenciales bancarias: también permite a los atacantes tomar el control total del móvil infectado y ejecutar transferencias sin que el usuario se entere.


¿La puerta de entrada? Apps pirata de IPTV (sí, para ver el fútbol)

Klopatra se distribuye sobre todo en aplicaciones falsas de IPTV, muchas de ellas dirigidas a quienes buscan ver partidos de pago “gratis”. Porque claro, ¿qué puede salir mal descargando una app de fútbol de un sitio raro con anuncios de casinos? Exacto: tu cuenta bancaria.

Muchas de estas apps vienen de fuentes externas a Google Play y esconden el malware dentro, activándose al instalarlas.

Una de las cebos detectados:
Mobdro Pro IP TV + VPN, que suena útil… hasta que te vacían la cuenta mientras tú ves el partido.


El truco está en los permisos

Una vez instalada la app, Klopatra pide acceso a los Servicios de Accesibilidad de Android. Esa función existe para ayudar a personas con dificultades, pero los atacantes la usan para:

  • Ver tu pantalla en tiempo real
  • Registrar pulsaciones (keylogger style)
  • Controlar el dispositivo a distancia
  • Hacer movimientos bancarios sin que lo notes

Y por si fuera poco, muchas de estas operaciones se realizan de madrugada, cuando el móvil está cargando y tú estás soñando con Messi.


Superposición de pantalla y ataques silenciosos

Gracias a técnicas de overlay y control remoto, los atacantes logran completar transferencias bancarias y otras acciones financieras sin que el usuario intervenga o siquiera se despierte.


Tecnología avanzada: Virbox + código nativo

Aquí es donde Klopatra se pone en modo ninja tecnológico.

  • Utiliza Virbox, un sistema comercial de protección que hace que muchas soluciones antivirus ni lo huelan.
  • En vez de usar código Java como la mayoría de apps Android, mezcla librerías nativas, lo que complica su detección y análisis.

Esto indica que los desarrolladores no son amateurs con WiFi robado, sino un grupo organizado que invierte tiempo y recursos para que el malware dure… más que tu suscripción a Netflix.


¿Quién está detrás?

El análisis del código y servidores C2 apunta a un grupo criminal de habla turca. Además, todo indica que no ofrecen Klopatra como servicio (nada de Malware-as-a-Service), sino que es un proyecto cerrado y privado, manejado por pocos individuos con bastante experiencia.


España e Italia en la mira

Cleafy ha identificado dos botnets activas:

  • Una en España con unos 1.000 dispositivos infectados
  • Otra en Italia con más de 450 víctimas

Aunque por ahora el ataque está centrado ahí, nada impide que se expanda a otros países. Si la campaña tiene éxito, lo más probable es que lo hagan “internacional”, como las giras de Bad Bunny.


Una nueva generación de malware móvil

Klopatra representa un salto importante en la evolución del malware para Android, especialmente en el escenario de la banca móvil y las apps pirata tipo IPTV.

Este caso demuestra que el cibercrimen se está profesionalizando, mientras muchos usuarios siguen instalando apps desde enlaces compartidos por “el primo que sabe”.

Para los bancos, esto deja claro que ya no basta con detectar firmas de malware: necesitan observar comportamiento, accesos y patrones extraños.

Antes de Klopatra ya atacaban: los casos de TeaBot, FluBot y Joker

1. TeaBot (Anatsa) – Malware bancario disfrazado de apps de streaming e IPTV

Cómo se propagaba:
Se hacía pasar por aplicaciones aparentemente inocentes como reproductores de vídeo, gestores de archivos o apps para ver fútbol gratis. Varias versiones incluían nombres como “IPTV Player 2023”, “Ultima Football Live” o supuestas apps de VPN y streaming.

TeaBot – Análisis estático
Del archivo AndroidManifest se extrajeron los siguientes indicadores:

Abusar de los Servicios de Accesibilidad de Android.

Inicialmente, el nombre de la aplicación usado por la app maliciosa era “TeaTV”; sin embargo, durante el último mes el nombre de la app se cambió a “VLC MediaPlayer”, “Mobdro”, “DHL”, “UPS” y “bpost”, el mismo cebo usado por el famoso malware bancario Flubot/Cabassous.

Los principales permisos que obtiene TeaBot permiten:

Enviar / interceptar mensajes SMS.

Leer la libreta de contactos y el estado del teléfono.

Usar las modalidades biométricas compatibles del dispositivo.

Modificar la configuración de audio (p. ej., silenciar el dispositivo).

Mostrar una ventana emergente sobre todas las demás apps (utilizada durante la fase de instalación para forzar al usuario a aceptar los permisos del servicio de accesibilidad).

Eliminar una aplicación instalada.

Impacto:

  • Infectó miles de dispositivos en España, Italia, Francia y Latinoamérica.
  • Robaba credenciales bancarias mediante pantallas superpuestas (overlay) que imitaban apps oficiales.
  • Interceptaba SMS para saltarse la autenticación en dos pasos, incluso en apps financieras.
  • Los atacantes podían tomar control del dispositivo y completar transacciones.

Ejemplo real:
La app falsa IPTV Player 2023 fue una de las más descargadas antes de ser retirada de varias tiendas alternativas.


2. FluBot – De SMS fraudulentos a apps IPTV falsas

Cómo se propagaba:
Su primera ola llegó mediante mensajes SMS falsos (“tienes un paquete pendiente” estilo FedEx o DHL), pero con el tiempo mutó: empezó a camuflarse como apps de entretenimiento e IPTV pirateado descargables desde enlaces externos y repositorios no oficiales.

Impacto:

  • Más de 60.000 dispositivos infectados en España en 2022, según el INCIBE.
  • Robaba credenciales bancarias, contactos y podía enviar SMS automáticos para expandirse.
  • Permitía generar botnets móviles para coordinar fraudes masivos.

Motivo de su éxito:
Muchos usuarios creían que instalaban apps de televisión, fútbol o contenido premium gratuito.


3. Joker (también conocido como Bread) – Suscripciones fantasma desde apps falsas

Cómo operaba:
Este malware se infiltraba en apps de vídeo, wallpapers, reproductores multimedia e incluso IPTV. Durante años logró colarse en Google Play bajo diferentes nombres.

Qué hacía:

  • Inscribía a las víctimas en servicios premium sin autorización.
  • Robaba SMS, listas de contactos y datos del dispositivo.
  • Muchos usuarios solo se daban cuenta cuando veían cargos móviles desconocidos.

Apps donde se detectó:
Se han encontrado más de 1.700 aplicaciones infectadas con Joker en Google Play a lo largo del tiempo, según análisis de Zimperium y Check Point. Ejemplos frecuentes:

  • “Live TV HD”
  • “Ultra Wallpaper 4K”
  • “StreamCast Player”
  • “Mobdro Live IPTV”

Presencia global:
Afectó a usuarios en Europa, Latinoamérica y Asia.

Cómo proteger tu móvil (y tu cuenta)

Algunas recomendaciones básicas pero efectivas:

  • No instales apps desde fuera de Google Play, especialmente si prometen fútbol gratis, películas o milagros digitales.
  • Evita activar “Orígenes desconocidos” salvo casos muy específicos y confiables.
  • Revisa qué permisos pide cada aplicación antes de aceptarlos. Si una app para ver TV pide accesibilidad… sospecha.
  • Mantén tu Android actualizado. Las actualizaciones no son decoración.
  • Usa una solución de seguridad móvil con detección de comportamientos anómalos.
  • Activa notificaciones bancarias para detectar movimientos raros al instante (o antes de que el hacker pague su kebab con tu tarjeta).

Donaciones y Apoyo

Fuente (s) :

Investigadores de McAfee han identificado 15 aplicaciones de tipo SpyLoan en Google Play que, en conjunto, acumulan más de 8 millones de descargas. Estas aplicaciones maliciosas han estado dirigidas principalmente a usuarios en Sudamérica, el Sudeste Asiático y África.

estas apps  se hacen pasar por empresas de prestamos de dinero, donde detrás se encuentran call centers que hostigan y a veces extorsionan
estas apps se hacen pasar por empresas de prestamos de dinero, donde detrás se encuentran call centers que hostigan y a veces extorsionan

¿Qué son las aplicaciones SpyLoan?

Las aplicaciones SpyLoan explotan técnicas de ingeniería social para obtener datos sensibles de los usuarios y permisos excesivos en sus dispositivos, lo que lleva a prácticas de extorsión, acoso y pérdidas financieras. Aunque inicialmente se presentan como soluciones financieras legítimas, estas aplicaciones tienen un propósito oculto: recopilar información personal de los usuarios para aprovecharla de forma indebida.

Según el informe de McAfee, estas aplicaciones se presentan como herramientas financieras legítimas que prometen préstamos rápidos y flexibles. Sin embargo, su verdadero objetivo es recopilar la mayor cantidad posible de información personal para explotarla.
Según el informe de McAfee, estas aplicaciones se presentan como herramientas financieras legítimas que prometen préstamos rápidos y flexibles. Sin embargo, su verdadero objetivo es recopilar la mayor cantidad posible de información personal para explotarla.

En resumen son aplicaciones (apps) que se hacen pasar por empresas de prestamos de dinero, donde detrás se encuentran call centers que hostigan y a veces extorsionan por pagos a usuarios.

* Préstamo Seguro-Rápido, Seguro: 1.000.000 de descargas, principalmente dirigido a México

Si bien el comportamiento específico puede variar según el país, estas aplicaciones comparten características y códigos comunes a nivel de aplicación e infraestructura:

Distribución a través de tiendas de aplicaciones oficiales: a pesar de violar las políticas, estas aplicaciones a menudo pasan por los procesos de verificación de las tiendas de aplicaciones y están disponibles en plataformas como Google Play, lo que las hace parecer confiables.


Marketing engañoso: usan nombres, logotipos e interfaces de usuario que imitan a instituciones financieras de buena reputación para ganar credibilidad. A menudo, estas aplicaciones de préstamos se promocionan mediante anuncios en las redes sociales

Marketing engañoso: Promoción de ofertas con tiempo limitado para presionar al usuario.
Marketing engañoso: Promoción de ofertas con tiempo limitado para presionar al usuario.

Métodos de distribución

Algunas de estas aplicaciones maliciosas fueron promovidas mediante anuncios engañosos en redes sociales, destacando beneficios aparentes como tasas bajas de interés y requisitos mínimos. Estas estrategias generan una sensación de urgencia falsa que incita a los usuarios a tomar decisiones precipitadas.

Acciones tomadas por Google

Los investigadores de McAfee reportaron las aplicaciones a Google, quien notificó a los desarrolladores que sus productos violaban las políticas de Google Play. En respuesta, algunas de estas aplicaciones fueron suspendidas de la tienda, mientras que otras fueron actualizadas por sus desarrolladores para intentar cumplir con las políticas.

Incremento alarmante de actividad

El informe de McAfee destaca que la actividad de las aplicaciones SpyLoan ha crecido significativamente, con un aumento de más del 75% en aplicaciones maliciosas y dispositivos infectados entre el segundo y el tercer trimestre de 2024. Esto subraya la amenaza creciente que representan en el entorno móvil.

¿Cómo operan las aplicaciones SpyLoan?

Según el informe de McAfee, estas aplicaciones se presentan como herramientas financieras legítimas que prometen préstamos rápidos y flexibles. Sin embargo, su verdadero objetivo es recopilar la mayor cantidad posible de información personal para explotarla. Entre las tácticas más comunes se encuentran:

  • Marketing engañoso: Promoción de ofertas con tiempo limitado para presionar al usuario.
  • Simulación de legitimidad: Uso de nombres, logos y políticas de privacidad que imitan a instituciones financieras reales.
  • Requerimientos innecesarios: Solicitan permisos excesivos para una aplicación de préstamos, como acceso a contactos, SMS, almacenamiento, calendario, registros de llamadas y funciones como la cámara o el micrófono.

Una vez instaladas, estas aplicaciones pueden acosar a los usuarios mediante llamadas intimidantes, uso indebido de fotos o identificaciones, e incluso enviar mensajes masivos a los contactos del usuario, exponiendo información personal y causando humillación pública.

Casos destacados

En Perú, las autoridades llevaron a cabo un operativo en un centro de llamadas vinculado a estas aplicaciones, el cual había extorsionado a más de 7,000 víctimas en Perú, México y Chile. Este caso refleja la naturaleza global del problema, con reportes similares en distintas partes del mundo.

Conclusiones del informe

El informe de McAfee concluye que la amenaza de aplicaciones como SpyLoan es un problema global que explota la confianza de los usuarios y su desesperación financiera. Estas aplicaciones reutilizan código y estrategias, lo que les permite adaptarse rápidamente y evadir la detección por parte de las autoridades. Este enfoque en red amplifica el alcance de la amenaza y complica los esfuerzos para rastrear y desmantelar estas operaciones, ya que pueden trasladarse fácilmente a nuevas regiones.


Medidas recomendadas para los usuarios

  • Evitar descargas de fuentes no confiables: Descargue aplicaciones únicamente de desarrolladores reconocidos y revise las reseñas.
  • Revisar los permisos solicitados: Nunca conceda permisos que no sean esenciales para el funcionamiento de la aplicación.
  • Reportar actividades sospechosas: Si sospecha que una aplicación es maliciosa, repórtela de inmediato a Google Play.

La creciente sofisticación de estas aplicaciones destaca la importancia de la vigilancia y la educación sobre ciberseguridad, especialmente en países donde las regulaciones financieras y tecnológicas son menos estrictas.

Donaciones y Apoyo

Fuente (s) :

Presentación del Moto Tag de Motorola

Motorola ha lanzado en España su nuevo dispositivo Moto Tag, diseñado para el ecosistema Android y rival directo del AirTag de Apple. Este compacto y bien diseñado rastreador aprovecha la estrecha colaboración entre Motorola y Google, brindando una opción destacada en el mercado.

Funcionalidad y Tecnología

El Moto Tag es un rastreador pequeño y eficiente que se puede colocar en diversos objetos, como llaves, carteras o mochilas. Funciona dentro de la red “Encuentra mi dispositivo” de Android, ofreciendo una localización precisa mediante la comunicación cifrada con dispositivos cercanos.

Características Destacadas

  • Batería: Utiliza una pila CR2032 con un año de autonomía, fácil de reemplazar.
  • Funciones Adicionales: Búsqueda inversa y disparador de cámara integrado.
  • Durabilidad: Certificación IP67, resistente al agua y al polvo.
  • Compatibilidad: Funciona con la mayoría de los móviles Android.

Precio y Disponibilidad

El Moto Tag estará disponible próximamente en España, en colores verde y azul oscuro. Su precio será de 39,99 euros por unidad y 139,99 euros por un pack de cuatro.

Motorola sigue innovando con soluciones tecnológicas prácticas y asequibles, adaptadas a las necesidades de los usuarios de Android.

Fuente (s) :