- 239 apps malicioses a Google Play i més de 42 milions de descàrregues detectades per Zscaler
- Noves campanyes: troià bancari amb superposicions, spyware Landfall i frau NFC amb NGate
- El codi maliciós mòbil creix un 67% interanual; adware domina (69%) i Europa registra pics a països com Itàlia
- Guia de protecció: permisos, actualitzacions, Play Protect, verificació de apps i vigilància de comptes
Els mòbils amb Android segueixen al punt de mira i, d'acord amb les últimes investigacions, el panorama no pinta precisament tranquil. Entre troians bancaris que buiden comptes, spyware que explota fallades de dia zero i fraus sense contacte, la superfície d'atac creix al ritme de l'adopció digital a Europa i Espanya.
En les últimes setmanes han sortit a la llum campanyes i dades que dibuixen un escenari complex: 239 aplicacions malicioses a Google Play acumulant més de 42 milions de descàrregues, un nou troià bancari amb superposicions capaç de prendre el control del dispositiu, un spyware anomenat Landfall que es cola a través de imatges DNG i un esquema de clonació de targetes via NFC (NGate) amb origen a Europa i expansió a LATAM.
Radiografia de l'auge del codi maliciós mòbil en Android
L'últim informe de Zscaler revela que entre el juny del 2024 i el maig del 2025 Google Play va albergar 239 apps malicioses que van superar les 42 milions d'instal·lacions. L'activitat de codi maliciós mòbil va créixer un 67% interanual, amb especial presència en la categoria d'eines i productivitat, on els atacants es camuflen com a utilitats aparentment legítimes.
Aquesta evolució es tradueix en un clar canvi de tàctiques: l'adware concentra el 69% de les deteccions, mentre que la família Joker cau a 23%. Per països, l'Índia (26%), els Estats Units (15%) i el Canadà (14%) lideren l'estadística, però a Europa s'han observat repunts destacats a Itàlia, amb increments interanuals molt acusats, i avisos sobre la possible extensió del risc a la resta del continent.
Davant aquest escenari, Google ha endurit el control sobre l'ecosistema de desenvolupadors amb mesures addicionals de verificació d'identitat per publicar a Android. La intenció és elevar el llistó d'entrada i rastrejabilitat, reduint la capacitat dels ciberdelinqüents per distribuir programari maliciós a través de botigues oficials.
A més del volum, preocupa la sofisticació: Zscaler subratlla famílies especialment actives, entre elles Anatsa (troià bancari), Android Void/Vo1d (porta del darrere en dispositius amb AOSP antic, amb més d'1,6 milions d'equips afectats) i Xnotice, un RAT orientat a robar credencials i codis 2FA. A Europa, les entitats financeres i els usuaris de banca mòbil concentren un risc evident.
Els experts apunten a un gir del frau clàssic de targetes cap a pagaments mòbils i tècniques socials (phishing, smishing i intercanvi de SIM), cosa que exigeix elevar la higiene digital de l'usuari final i reforçar la protecció dels canals mòbils de les entitats.
Android/BankBot‑YNRK: superposicions, accessibilitat i robatori bancari
Investigadors de Cyfirma han documentat un troià bancari per Android batejat com a “Android/BankBot‑YNRK”, dissenyat per fer-se passar per apps legítimes i després activar Serveis d'Accessibilitat per obtenir control total del dispositiu. La seva especialitat són els atacs de superposició: crea pantalles falses d'inici de sessió sobre apps reals de banca i cripte per capturar credencials.
La distribució combina la Play Store (en onades que eludeixen els filtres) amb pàgines fraudulentes que ofereixen APK, usant noms de paquet i títols que imiten serveis populars. Entre els identificadors tècnics detectats figuren diversos hashes SHA‑256 i s'estudia que l'operació funcioni sota Malware-as-a-Service, cosa que facilita la seva expansió a diferents països, inclosa Espanya.
Un cop dins, força permisos d'accessibilitat, s'afegeix com a administrador del dispositiu, llegeix el que apareix a la pantalla, prem botons virtuals i completa formularis. També podeu interceptar codis 2FA, manipular notificacions i automatitzar transferències, tot sense aixecar sospites visibles.
Els analistes relacionen aquesta amenaça amb la família BankBot/Anubis, activa des del 2016, amb múltiples variants que evolucionen per evadir antivirus i controls de la botiga. Les campanyes solen anar dirigides a apps financeres molt esteses, cosa que eleva l'impacte potencial si no es detecta a temps.
Per a usuaris i empreses a la UE, la recomanació passa per reforçar controls de permisos, revisar accessos a accessibilitat i vigilar el comportament d'apps financeres. En cas de dubte, millor desinstal·lar, escanejar el terminal i canviar credencials en coordinació amb lentitat.
Landfall: espionatge silenciós amb imatges DNG i errors de dia zero
Una altra investigació, liderada per la Unitat 42 de Palo Alto Networks, va destapar un spyware per Android anomenat Landfall que explotava una vulnerabilitat de dia zero a la biblioteca de processament d'imatges (libimagecodec.quram.so) per executar codi al descodificar fitxers DNG. Bastava amb rebre la imatge per missatgeria perquè l'atac es materialitzés sense interacció.
Els primers indicis es remunten al juliol de 2024 i la sentència va quedar catalogada com CVE‑2025‑21042 (amb una correcció addicional CVE‑2025‑21043 mesos després). La campanya va apuntar amb especial èmfasi a dispositius Samsung Galaxy i va tenir més impacte a l'Orient Mitjà, encara que els experts adverteixen de la facilitat amb què aquestes operacions es poden expandir geogràficament.
Un cop compromès, Landfall permetia extreure fotos sense pujar-les al núvol, missatges, contactes i registres de trucades, a més de activar el micròfon de forma encoberta. La modularitat del spyware i la seva persistència gairebé un any sense ser detectat subratllen el salt de sofisticació que estan donant les amenaces mòbils avançades.
Per mitigar el risc, resulta clau aplicar actualitzacions de seguretat del fabricant, limitar l'exposició a fitxers rebuts de contactes no verificats i mantenir actius els mecanismes de protecció del sistema, tant en terminals dús personal com en flotes corporatives.
NGate: clonació de targetes via NFC, de Txèquia al Brasil
La comunitat de ciberseguretat ha posat el focus també a NGate, un malware per a Android orientat al frau financer que abusa de NFC per copiar dades de targetes i emular-les en un altre dispositiu. S'han documentat campanyes a Europa Central (Txèquia) amb suplantacions de bancs locals i una evolució posterior adreçada a usuaris al Brasil.
L'engany combina smishing, enginyeria social i l'ús de PWA/WebAPK i pàgines que imiten Google Play per aconseguir la instal·lació. Un cop dins, guia la víctima per activar NFC i introduir el PIN, intercepta l'intercanvi i el retransmet amb eines com NFCGate, permetent reintegraments en caixers i pagaments a TPV sense contacte.
Diversos proveïdors detecten variants sota etiquetes com Android/Spy.NGate.B i heurístiques de Trojan‑Banker. Tot i que no hi ha evidències públiques de campanyes actives a Espanya, les tècniques usades són traslladables a qualsevol regió amb banca sense contacte àmpliament adoptada.
Com reduir el risc: pràctiques recomanades
Abans d'instal·lar, dedica uns segons a comprovar el editor, valoracions i data de l'app. Desconfia de sol·licituds de permisos que no encaixin amb la funció declarada (especialment Accessibilitat i Administració de el dispositiu).
Mantingues el sistema i les apps sempre actualitzats, activa Google Play Protect i realitza escanejos periòdics. En entorns corporatius, convé aplicar polítiques MDM, llistes de bloqueig i monitorització d'anomalies a flotes.
Evita descarregar APK des d'enllaços en SMS, xarxes socials o correus, i fuig de les pàgines que imiten Google Play. Si una app bancària demana el PIN de la targeta o que acostis la targeta al mòbil, sospita i verifica amb la teva entitat.
Davant indicis d'infecció (consum de dades o bateria anòmal, notificacions estranyes, pantalles superposades), desconnecta dades, desinstal·la apps sospitoses, escaneja el terminal i canvia credencials. Contacta amb el teu banc si detectes moviments no autoritzats.
En l'àmbit professional, incorpora IoC publicats pels investigadors (dominis, hashes i paquets observats) a les teves llistes de bloqueig, i coordina resposta amb CSIRT sectorials per tallar possibles cadenes d'infecció.
L'ecosistema Android travessa una fase d'alta pressió per part del cibercrim: des de apps malicioses a botigues oficials fins i tot troians bancaris amb superposicions, spyware que explota imatges DNG i fraus NFC amb emulació de targetes. Amb actualitzacions al dia, prudència en instal·lar i vigilància activa sobre permisos i operacions bancàries, és possible reduir dràsticament l'exposició tant d´usuaris particulars com d´organitzacions a Espanya i la resta d´Europa.
Sóc un apassionat de la tecnologia que ha convertit els seus interessos frikis en professió. Porto més de 10 anys de la meva vida utilitzant tecnologia d'avantguarda i traslladant tota mena de programes per pura curiositat. Ara he especialitzat en tecnologia d'ordinador i videojocs. Això és perquè des de fa més de 5 anys que treballo redactant per a diverses webs en matèria de tecnologia i videojocs, creant articles que busquen donar-te la informació que necessites amb un llenguatge comprensible per tothom.
Si tens qualsevol pregunta, els meus coneixements van des de tot allò relacionat amb el sistema operatiu Windows així com Android per a mòbils. I és que el meu compromís és amb tu, sempre estic disposat a dedicar-te uns minuts i ajudar-te a resoldre qualsevol dubte que tinguis a aquest món d'internet.