- 239 apps maliciosas en Google Play y más de 42 millones de descargas detectadas por Zscaler
- Nuevas campañas: troyano bancario con superposiciones, spyware "Landfall" y fraude NFC con NGate
- El malware móvil crece un 67% interanual; adware domina (69%) y Europa registra picos en países como Italia
- Guía de protección: permisos, actualizaciones, Play Protect, verificación de apps y vigilancia de cuentas
Los móviles con Android siguen en el punto de mira y, a tenor de las últimas investigaciones, el panorama no pinta precisamente tranquilo. Entre troyanos bancarios que vacían cuentas, spyware que explota fallos de día cero y fraudes sin contacto, la superficie de ataque crece al ritmo de la adopción digital en Europa y España.
En las últimas semanas han salido a la luz campañas y datos que dibujan un escenario complejo: 239 aplicaciones maliciosas en Google Play acumulando más de 42 millones de descargas, un nuevo troyano bancario con superposiciones capaz de tomar el control del dispositivo, un spyware llamado Landfall que se cuela a través de imágenes DNG y un esquema de clonación de tarjetas vía NFC (NGate) con origen en Europa y expansión a LATAM.
Radiografía del auge del malware móvil en Android
El último informe de Zscaler revela que entre junio de 2024 y mayo de 2025 Google Play albergó 239 apps maliciosas que superaron las 42 millones de instalaciones. La actividad de malware móvil creció un 67% interanual, con especial presencia en la categoría de herramientas y productividad, donde los atacantes se camuflan como utilidades aparentemente legítimas.
Esta evolución se traduce en un claro cambio de tácticas: el adware concentra el 69% de las detecciones, mientras que la familia Joker cae al 23%. Por países, India (26%), Estados Unidos (15%) y Canadá (14%) lideran la estadística, pero en Europa se han observado repuntes destacados en Italia, con incrementos interanuales muy acusados, y avisos sobre la posible extensión del riesgo al resto del continente.
Ante este escenario, Google ha endurecido el control sobre el ecosistema de desarrolladores con medidas adicionales de verificación de identidad para publicar en Android. La intención es elevar el listón de entrada y rastreabilidad, reduciendo la capacidad de los ciberdelincuentes para distribuir software malicioso a través de tiendas oficiales.
Además del volumen, preocupa la sofisticación: Zscaler subraya familias especialmente activas, entre ellas Anatsa (troyano bancario), Android Void/Vo1d (puerta trasera en dispositivos con AOSP antiguo, con más de 1,6 millones de equipos afectados) y Xnotice, un RAT orientado a robar credenciales y códigos 2FA. En Europa, las entidades financieras y los usuarios de banca móvil concentran un riesgo evidente.
Los expertos apuntan a un giro del fraude clásico de tarjetas hacia pagos móviles y técnicas sociales (phishing, smishing e intercambio de SIM), lo que exige elevar la higiene digital del usuario final y reforzar la protección de los canales móviles de las entidades.
Android/BankBot‑YNRK: superposiciones, accesibilidad y robo bancario
Investigadores de Cyfirma han documentado un troyano bancario para Android bautizado como “Android/BankBot‑YNRK”, diseñado para hacerse pasar por apps legítimas y luego activar Servicios de Accesibilidad para obtener control total del dispositivo. Su especialidad son los ataques de superposición: crea pantallas falsas de inicio de sesión sobre apps reales de banca y cripto para capturar credenciales.
La distribución combina la Play Store (en oleadas que eluden los filtros) con páginas fraudulentas que ofrecen APK, usando nombres de paquete y títulos que imitan servicios populares. Entre los identificadores técnicos detectados figuran varios hashes SHA‑256 y se baraja que la operación funcione bajo Malware‑as‑a‑Service, lo que facilita su expansión a distintos países, incluida España.
Una vez dentro, fuerza permisos de accesibilidad, se añade como administrador del dispositivo, lee lo que aparece en pantalla, pulsa botones virtuales y completa formularios. También puede interceptar códigos 2FA, manipular notificaciones y automatizar transferencias, todo sin levantar sospechas visibles.
Los analistas relacionan esta amenaza con la familia BankBot/Anubis, activa desde 2016, con múltiples variantes que evolucionan para evadir antivirus y controles de la tienda. Las campañas suelen ir dirigidas a apps financieras muy extendidas, lo que eleva el impacto potencial si no se detecta a tiempo.
Para usuarios y empresas en la UE, la recomendación pasa por reforzar controles de permisos, revisar accesos a accesibilidad y vigilar el comportamiento de apps financieras. En caso de duda, mejor desinstalar, escanear el terminal y cambiar credenciales en coordinación con la entidad.
Landfall: espionaje silencioso con imágenes DNG y fallos de día cero
Otra investigación, liderada por la Unidad 42 de Palo Alto Networks, destapó un spyware para Android llamado Landfall que explotaba una vulnerabilidad de día cero en la biblioteca de procesamiento de imágenes (libimagecodec.quram.so) para ejecutar código al decodificar archivos DNG. Bastaba con recibir la imagen por mensajería para que el ataque se materializase sin interacción.
Los primeros indicios se remontan a julio de 2024 y el fallo quedó catalogado como CVE‑2025‑21042 (con una corrección adicional CVE‑2025‑21043 meses después). La campaña apuntó con especial énfasis a dispositivos Samsung Galaxy y tuvo mayor impacto en Oriente Medio, aunque los expertos advierten de la facilidad con la que estas operaciones pueden expandirse geográficamente.
Una vez comprometido, Landfall permitía extraer fotos sin subirlas a la nube, mensajes, contactos y registros de llamadas, además de activar el micrófono de forma encubierta. La modularidad del spyware y su persistencia casi un año sin ser detectado subrayan el salto de sofisticación que están dando las amenazas móviles avanzadas.
Para mitigar el riesgo, resulta clave aplicar actualizaciones de seguridad del fabricante, limitar la exposición a archivos recibidos de contactos no verificados y mantener activos los mecanismos de protección del sistema, tanto en terminales de uso personal como en flotas corporativas.
NGate: clonación de tarjetas vía NFC, de Chequia a Brasil
La comunidad de ciberseguridad ha puesto el foco también en NGate, un malware para Android orientado al fraude financiero que abusa de NFC para copiar datos de tarjetas y emularlas en otro dispositivo. Se han documentado campañas en Europa Central (Chequia) con suplantaciones de bancos locales y una evolución posterior dirigida a usuarios en Brasil.
El engaño combina smishing, ingeniería social y el uso de PWA/WebAPK y páginas que imitan Google Play para lograr la instalación. Una vez dentro, guía a la víctima para activar NFC e introducir el PIN, intercepta el intercambio y lo retransmite con herramientas como NFCGate, permitiendo reintegros en cajeros y pagos en TPV sin contacto.
Diversos proveedores detectan variantes bajo etiquetas como Android/Spy.NGate.B y heurísticas de Trojan‑Banker. Aunque no hay evidencias públicas de campañas activas en España, las técnicas usadas son trasladables a cualquier región con banca sin contacto ampliamente adoptada.
Cómo reducir el riesgo: prácticas recomendadas
Antes de instalar, dedica unos segundos a comprobar el editor, valoraciones y fecha de la app. Desconfía de solicitudes de permisos que no encajen con la función declarada (especialmente Accesibilidad y Administración del dispositivo).
Mantén el sistema y las apps siempre actualizados, activa Google Play Protect y realiza escaneos periódicos. En entornos corporativos, conviene aplicar políticas MDM, listas de bloqueo y monitorización de anomalías en flotas.
Evita descargar APK desde enlaces en SMS, redes sociales o correos, y huye de las páginas que imitan Google Play. Si una app bancaria pide el PIN de la tarjeta o que acerques la tarjeta al móvil, sospecha y verifica con tu entidad.
Ante indicios de infección (consumo de datos o batería anómalo, notificaciones extrañas, pantallas superpuestas), desconecta datos, desinstala apps sospechosas, escanea el terminal y cambia credenciales. Contacta con tu banco si detectas movimientos no autorizados.
En el ámbito profesional, incorpora IoC publicados por los investigadores (dominios, hashes y paquetes observados) a tus listas de bloqueo, y coordina respuesta con CSIRT sectoriales para cortar posibles cadenas de infección.
El ecosistema Android atraviesa una fase de alta presión por parte del cibercrimen: desde apps maliciosas en tiendas oficiales hasta troyanos bancarios con superposiciones, spyware que explota imágenes DNG y fraudes NFC con emulación de tarjetas. Con actualizaciones al día, prudencia al instalar y vigilancia activa sobre permisos y operaciones bancarias, es posible reducir drásticamente la exposición tanto de usuarios particulares como de organizaciones en España y el resto de Europa.
Soy un apasionado de la tecnología que ha convertido sus intereses «frikis» en profesión. Llevo más de 10 años de mi vida utilizando tecnología de vanguardia y trasteando todo tipo de programas por pura curiosidad. Ahora me he especializado en tecnología de ordenador y videojuegos. Esto es por que desde hace más de 5 años que trabajo redactando para varias webs en materia de tecnología y videojuegos, creando artículos que buscan darte la información que necesitas con un lenguaje entendible por todos.
Si tienes cualquier pregunta, mis conocimientos van desde todo lo relacionado con el sistema operativo Windows así como Android para móviles. Y es que mi compromiso es contigo, siempre estoy dispuesto a dedicarte unos minutos y ayudarte a resolver cualquier duda que tengas en este mundo de internet.