- Zscaler detectou 239 aplicacións maliciosas en Google Play e máis de 42 millóns de descargas.
- Novas campañas: troiano bancario con superposicións, spyware "Landfall" e fraude NFC con NGate
- O software malicioso para móbiles medra un 67 % interanual; o adware domina (69 %) e Europa rexistra picos en países como Italia
- Guía de protección: permisos, actualizacións, Play Protect, verificación de aplicacións e monitorización de contas
Os teléfonos Android seguen no punto de mira e, segundo as últimas investigacións, O panorama non é precisamente tranquilo.. Entre Troianos bancarios que baleiran contas, Software espía que explota vulnerabilidades de día cero e fraude sen contactoA superficie de ataque medra en liña coa adopción dixital en Europa e España.
Nas últimas semanas Saíron á luz campañas e datos que debuxan un panorama complexo: 239 aplicacións maliciosas en Google Play acumulando máis de 42 millóns de descargas, un novo troiano bancario con superposicións capaces de tomar o control do dispositivo, un programa espía chamado Desembarco que se filtra a través Imaxes DNG e un esquema de clonación de tarxetas mediante NFC (NGate) orixinaria de Europa e expandíndose a América Latina.
Unha instantánea do auxe do software malicioso móbil en Android
O último informe de Zscaler revela que entre xuño de 2024 e maio de 2025 Google Play aloxou 239 aplicacións maliciosas que superou os 42 millóns de instalacións. Actividade de software malicioso para móbiles creceu un 67 % interanual, cunha presenza especial na categoría de ferramentas e produtividade, onde os atacantes se disfrazan de utilidades aparentemente lexítimas.
Esta evolución tradúcese nun claro cambio de tácticas: O adware representa o 69 % das detecciónsmentres que a familia Joker cae ao 23 %. Por países, a India (26 %), os Estados Unidos (15 %) e o Canadá (14 %) lideran as estatísticas, pero en Europa observouse un descenso. aumentos notables en Italiacon aumentos interanuais moi pronunciados e advertencias sobre a posible propagación do risco ao resto do continente.
Ante este escenario, Google reforzou o seu control sobre o ecosistema de desenvolvedores con medidas adicionais de verificación da identidade para publicar en Android. A intención é elevar o listón de acceso e rastrexabilidade, reducindo a capacidade dos ciberdelincuentes para distribuír software malicioso a través de tendas oficiais.
Ademais do volume, a sofisticación é unha preocupación: Zscaler destaca familias especialmente activas, entre elas Anatsa (troiano bancario), Android Void/Vo1d (porta traseira en dispositivos con AOSP herdado, con máis de 1,6 millóns de dispositivos afectados) e Aviso XUnha RAT deseñada para roubar credenciais e códigos 2FA. En Europa, entidades financeiras e usuarios de banca móbil Presentan un risco claro.
Os expertos sinalan un cambio da fraude clásica con tarxetas de crédito cara a Pagos móbiles e tecnoloxías sociais (phishing, smishing e intercambio de SIM), o que require elevar a hixiene dixital do usuario final e reforzar a protección dos canais móbiles das entidades.
Android/BankBot-YNRK: Superposicións, accesibilidade e roubo bancario
Os investigadores de Cyfirma documentaron unha troiano bancario para Android Alcumado «Android/BankBot‑YNRK», foi deseñado para suplantar aplicacións lexítimas e despois activar os servizos de accesibilidade para obter o control total do dispositivo. A súa especialidade son os ataques superpostos: crea pantallas de inicio de sesión falsas sobre banca real e aplicacións criptográficas para capturar credenciais.
A distribución combina as Xogar tenda (en ondas que evitan os filtros) con páxinas fraudulentas que ofrecen APK, usando nomes e títulos de paquetes que imitan servizos populares. Entre os identificadores técnicos detectados hai varios hashes SHA-256 e especúlase que a operación funcionará baixo Malware como servizo, o que facilita a súa expansión a diferentes países, incluíndo España.
Unha vez dentro, forza os permisos de accesibilidade, engádese a si mesmo como administrador do dispositivo e le o que aparece na pantalla. premer botóns virtuais e cubrir formulariosTamén pode interceptar códigos 2FA, manipular notificacións e automatizar transferenciastodo sen espertar ningunha sospeita visible.
Os analistas vinculan esta ameaza á familia BankBot/Anubis, activa desde 2016, con múltiples variantes que Evolucionan para evadir o software antivirus e controis de tendas. As campañas adoitan estar dirixidas a aplicacións financeiras de uso común, o que aumenta o impacto potencial se non se detecta a tempo.
Para os usuarios e as empresas da UE, a recomendación é reforzar controis de permisosRevisa a configuración de accesibilidade e supervisa o comportamento das aplicacións financeiras. En caso de dúbida, o mellor é desinstalalas, analizar o dispositivo e cambiar as credenciais en coordinación coa entidade.
Landfall: Espionaxe silenciosa usando imaxes DNG e fallos de día cero
Outra investigación, dirixida pola Unidade 42 de Palo Alto Networks, descubriu un spyware para Android chamado Desembarco que aproveitou unha vulnerabilidade de día cero na biblioteca de procesamento de imaxes (libimagecodec.quram.so) para executar código cando descodificar ficheiros DNG. Foi suficiente recibir a imaxe por mensaxe para que o ataque se puidese levar a cabo sen interacción.
Os primeiros indicios remóntanse a xullo de 2024 e a sentenza foi clasificada como CVE-2025-21042 (cunha corrección adicional CVE-2025-21043 meses despois). A campaña dirixiuse con especial énfase Dispositivos Samsung Galaxy e tivo o maior impacto en Oriente Medio, aínda que os expertos advirten da facilidade coa que estas operacións poden expandirse xeograficamente.
Unha vez comprometido, Extracción permitida por chegada a terra fotos sen subilas á nubemensaxes, contactos e rexistros de chamadas, Plus activar o micrófono de xeito encubertoA modularidade do software espía e a súa persistencia durante case un ano sen ser detectado subliñan a salto de sofisticación que están a ser provocadas por ameazas móbiles avanzadas.
Para mitigar o risco, é fundamental Aplicar as actualizacións de seguranza do fabricante, limitar a exposición aos ficheiros recibidos de contactos non verificados e manter activos os mecanismos de protección do sistema., tanto en terminais de uso persoal como en frotas corporativas.
NGate: clonación de tarxetas NFC, da República Checa ao Brasil
A comunidade de ciberseguridade tamén se centrou en Porta NGate, unha Malware para Android deseñado para fraudes financeiras que abusa de NFC n copiar datos da tarxeta e emulalos noutro dispositivo. Documentáronse campañas en Europa Central (República Checa) que implican a suplantación de bancos locais e unha evolución posterior dirixida a usuarios no Brasil.
O engano combina o smishing, a enxeñaría social e o uso de PWA/WebAPK e sitios web que imitan Google Play para facilitar a instalación. Unha vez dentro, guía á vítima para activar NFC e introducir o PIN, intercepta o intercambio e transmíteo mediante ferramentas como Porta NFCGate, permitindo retiradas de diñeiro en efectivo en caixeiros automáticos e pagamentos sen contacto mediante TPV.
Varios provedores Detectan variantes baixo etiquetas como Android/Spy.NGate.B e heurísticas de troianos bancariosAínda que non hai evidencia pública de campañas activas en España, as técnicas empregadas son transferible a calquera rexión cunha banca sen contacto amplamente adoptada.
Como reducir o risco: mellores prácticas
Antes da instalación, dedique uns segundos a comprobar o editor, cualificacións e data da aplicación. Ten coidado coas solicitudes de permisos que non coinciden coa función indicada. (especialmente Accesibilidade e Administración do dispositivo).
Mantén o sistema e as aplicacións en funcionamento. sempre actualizadoActiva Google Play Protect e realiza análises regulares. En entornos corporativos, é recomendable implementar políticas de MDM. listas de bloques e monitorización de anomalías da frota.
Evita descargar ficheiros APK desde ligazóns en mensaxes SMS, redes sociais ou correos electrónicos e mantén afastado de... páxinas que imitan Google PlaySe unha aplicación bancaria che solicita o PIN da tarxeta ou che pide que a achegues ao teléfono, desconfía e consulta co teu banco.
Se observa signos de infección (datos anormais ou consumo de batería, notificacións estrañas(pantallas superpostas), desconectar datos, desinstalar aplicacións sospeitosas, analizar o dispositivo e cambiar as credenciais. Ponte en contacto co teu banco se detectas movementos non autorizados.
No ámbito profesional, Incorpora os conceptos de IoC publicados por investigadores (dominios, hashes e paquetes observados) ás túas listas de bloqueo e coordina a resposta cos CSIRT do sector para cortar posibles cadeas de infección.
O ecosistema Android está a pasar por unha fase de alta presión por parte da ciberdelincuencia: desde aplicacións maliciosas en tendas oficiais Isto inclúe troianos bancarios con superposicións, spyware que explota imaxes DNG e fraudes NFC con emulación de tarxetas. Con actualizacións actualizadas, precaución durante a instalación e monitorización activa dos permisos e as transaccións bancarias, é posible evitalos. reducir drasticamente a exposición tanto usuarios individuais como organizacións en España e no resto de Europa.
Son un entusiasta da tecnoloxía que converteu os seus intereses "friki" nunha profesión. Levo máis de 10 anos da miña vida empregando tecnoloxía de punta e retocando todo tipo de programas por pura curiosidade. Agora especializeime en tecnoloxía informática e videoxogos. Isto débese a que dende hai máis de 5 anos levo escribindo para diversas webs sobre tecnoloxía e videoxogos, creando artigos que buscan darche a información que necesitas nun idioma comprensible para todos.
Se tes algunha dúbida, os meus coñecementos abarcan dende todo o relacionado co sistema operativo Windows e tamén con Android para teléfonos móbiles. E o meu compromiso é contigo, sempre estou disposto a dedicar uns minutos e axudarche a resolver calquera dúbida que teñas neste mundo de internet.