Doctor Web: informe de la actividad de virus para dispositivos móviles en el año 2025

15 de enero de 2026

Lo más destacado

En 2025, los usuarios de dispositivos Android se enfrentaron con mayor frecuencia a troyanos publicitarios, así como a programas falsos utilizados con fines fraudulentos.

El software no deseado más popular, al igual que el año anterior, fueron aplicaciones que, en forma de juego, proponen realizar determinadas tareas a cambio de recompensas virtuales. Estas prometen la posibilidad de convertir dichas recompensas en dinero real, pero en realidad esa opción no está prevista en los programas.

Entre el software potencialmente peligroso, la mayor actividad se observó en aplicaciones que habían sido modificadas mediante la utilidad NP Manager. Esta ofusca y protege el código de los programas modificados frente al análisis y la detección, y además permite eludir la verificación de la firma digital tras su modificación. Los programas publicitarios detectados con mayor frecuencia fueron modificaciones no oficiales del messenger WhatsApp, que abren automáticamente enlaces publicitarios durante el uso de la aplicación.

Durante el pasado año también se registraron nuevos casos de introducción de malware en el firmware de distintos modelos de dispositivos Android. Sobre uno de ellos informamos en la primavera de 2025. Los ciberdelincuentes lograron preinstalar el troyano Android.Clipper.31 en varios modelos económicos de smartphones y, con su ayuda, robar criptomonedas a las víctimas.

Asimismo, en primavera nuestros especialistas detectaron el troyano Android.Spy.1292.origin, que los creadores de malware habían integrado en una de las versiones modificadas del software cartográfico Alpine Quest. La aplicación maliciosa estaba dirigida contra militares rusos y se utilizaba con fines de ciberespionaje.

A finales del verano, el laboratorio antivirus de Doctor Web informó sobre el backdoor Android.Backdoor.916.origin, que se propagaba a través de mensajeros populares. Los delincuentes lo empleaban para vigilar a empleados de empresas rusas y recopilar información confidencial.

Ya en otoño, informamos sobre el peligroso backdoor Android.Backdoor.Baohuo.1.origin, que los ciberdelincuentes habían integrado en modificaciones del messenger Telegram X. Este malware permitía comprometer las cuentas de Telegram de las víctimas y controlar el propio messenger en nombre de los usuarios.

En los últimos 12 meses, el laboratorio antivirus de Doctor Web detectó en el catálogo de Google Play más de 180 amenazas, que en conjunto fueron descargadas más de 2.165.000 veces. Entre ellas había diversas variantes de troyanos que suscriben a los usuarios a servicios de pago, programas falsos utilizados con fines fraudulentos, así como nuevo software publicitario y no deseado.

En 2025, los creadores de malware continuaron utilizando distintas técnicas destinadas a dificultar el análisis del malware para Android y a esquivar su detección por parte de los antivirus. Uno de los métodos más populares fue la conversión de código DEX a código C. Además, nuestros analistas de malware señalaron que, en la creación de malware, los delincuentes recurren a asistentes basados en inteligencia artificial que les ayudan a escribir código.

Los eventos más destacados del año 2025

En abril del año pasado, los expertos de Doctor Web detectaron una campaña a gran escala de robo de criptomonedas dirigida a propietarios de dispositivos Android. Los delincuentes obtuvieron acceso a la cadena de suministro de varios fabricantes chinos e introdujeron el troyano Android.Clipper.31 en el firmware de varios modelos económicos de smartphones. Los creadores de malware lo integraron en una versión modificada del messenger WhatsApp. Para la modificación se utilizó la herramienta LSPatch, que permite cambiar la lógica de funcionamiento de las aplicaciones sin modificar su código.

Android.Clipper.31 intercepta los mensajes enviados y recibidos en el messenger, busca en ellos las direcciones de monederos de criptomonedas Tron y Ethereum y las sustituye por direcciones que pertenecen a los atacantes. Al mismo tiempo, el troyano oculta la sustitución y en esos mensajes las víctimas ven las direcciones de monederos aparentemente correctas. Android.Clipper.31 también envía a los delincuentes todas las imágenes en formatos jpg, png y jpeg para buscar en ellas frases mnemotécnicas guardadas que permiten acceder a monederos de criptomonedas. Los ciberdelincuentes integraron Android.Clipper.31 en decenas de otras aplicaciones, entre ellas populares apps de monederos de criptomonedas, escáneres de códigos QR y otros messengers, incluido Telegram. Estas modificaciones se distribuían a través de sitios web maliciosos.

En 2025 también se registraron otros casos de infiltración de malware en el área del sistema de dispositivos Android. Por ejemplo, otro grupo de atacantes logró introducir nuevas versiones de troyanos peligrosos Android.Triada en el firmware de varios smartphones de bajo coste. El peligro de los malware Triada radica en su capacidad para infectar el proceso del sistema Zygote, que participa directamente en el inicio de todas las aplicaciones. Como consecuencia, los troyanos Triada pueden integrarse posteriormente en cualquier aplicación del dispositivo, obteniendo de facto un control total sobre ella. Los delincuentes utilizan estos troyanos para descargar e instalar otro malware, así como aplicaciones no deseadas y publicitarias. Además, con su ayuda pueden espiar a las víctimas, suscribirlas a servicios de pago, etc.

Asimismo, se detectaron nuevos casos de infección del firmware de decodificadores de TV basados en Android con nuevas versiones del troyano Android.Vo1d, descubierto por nuestra empresa en 2024. Vo1d es un backdoor que coloca sus componentes en el área del sistema de los dispositivos infectados y, por orden de los atacantes, puede descargar e instalar software de terceros de forma no autorizada.

Asimismo, en abril nuestro laboratorio antivirus de Doctor Web registró una campaña de propagación del troyano espía Android.Spy.1292.origin, dirigida contra militares rusos. Los delincuentes integraron el malware en una de las versiones del software cartográfico Alpine Quest y propagaron la modificación a través de un canal de Telegram creado por ellos y presentado como oficial, así como mediante uno de los catálogos rusos de aplicaciones en Android.

Un canal de Telegram a través del cual los malintencionados propagaron la modificación maliciosa de Alpine Quest que contiene Android.Spy.1292.origin

Android.Spy.1292.origin transfería a los ciberdelincuentes los datos sobre las cuentas de los usuarios y el número de teléfono móvil, los contactos de la agenda, la geolocalización del dispositivo y la información sobre los archivos almacenados en él. El troyano podía robar algunos archivos por orden de los atacantes. A estos les interesaban principalmente documentos confidenciales que los usuarios enviaban a través de messengers populares, así como el archivo del registro de ubicaciones de la aplicación Alpine Quest.

En agosto informamos sobre casos de propagación del backdoor Android.Backdoor.916.origin a través de mensajes privados en messengers populares. Los atacantes ofrecían a las posibles víctimas instalar un «antivirus» desde un archivo APK adjunto a los mensajes, en el que en realidad se ocultaba el malware. Nuestro laboratorio antivirus detectó las primeras versiones de Android.Backdoor.916.origin en enero de 2025 y, desde el momento de su descubrimiento, realizó un seguimiento de su actividad, lo que permitió identificar esta campaña con rapidez.

Android.Backdoor.916.origin engaña a los usuarios al imitar el funcionamiento del antivirus

Tras instalarse en un dispositivo Android, Android.Backdoor.916.origin permite robar la información confidencial y espiar al usuario. Por ejemplo, mediante este backdoor los delincuentes pueden escuchar conversaciones, transmitir vídeo desde la cámara, rastrear la ubicación y sustraer datos de messengers y navegadores. Además, Android.Backdoor.916.origin incorpora funcionalidad de keylogger para interceptar el texto introducido, incluidas las contraseñas. Según las estimaciones de nuestros especialistas, este backdoor se utiliza en ataques dirigidos y no está pensado para una propagación masiva. El principal objetivo de los ciberdelincuentes son los empleados de empresas rusas.

En octubre, Doctor Web publicó la información sobre el backdoor multifuncional Android.Backdoor.Baohuo.1.origin, que nuestros analistas de malware detectaron en versiones modificadas del messenger Telegram X. La principal fuente de su propagación fueron los sitios web maliciosos, a los que las posibles víctimas llegaban a través de publicidad en aplicaciones móviles. En estos sitios se ofrecía a los usuarios instalar Telegram X, supuestamente para buscar pareja para comunicarse y concertar citas. Al mismo tiempo, estos recursos web estaban orientados en mayor medida a residentes de Indonesia y Brasil. No obstante, también detectamos este backdoor en varios catálogos de aplicaciones Android de terceros.

Un ejemplo de un sitio web malicioso desde el cual se descargaba la versión troyana de Telegram X

Una de las funciones de Android.Backdoor.Baohuo.1.origin es robar los datos confidenciales. Por ejemplo, el malware sustrae el nombre de usuario y la contraseña de la cuenta de Telegram de la víctima, el historial de conversaciones en el messenger, los SMS entrantes, los contactos de la agenda del dispositivo y también es capaz de interceptar el contenido del portapapeles. No obstante, los atacantes no lo utilizan únicamente como aplicación espía. Con ayuda de Android.Backdoor.Baohuo.1.origin, pueden administrar de facto la cuenta comprometida y controlar el funcionamiento de Telegram X, modificando su funcionalidad.

Así, el backdoor permite añadir y eliminar al usuario de los canales de Telegram de forma no autorizada, unirse a chats en su nombre y ocultar los dispositivos autorizados para su cuenta. Para ejecutar acciones que requieren intervenir en la lógica de funcionamiento de la aplicación se utiliza el framework Xposed. Los ciberdelincuentes controlan el backdoor tanto de la forma tradicional —a través de un servidor C2— como mediante el envío de comandos a través de una base de datos Redis, algo que no se había observado anteriormente en otros malware para el sistema operativo Android.
El número total de dispositivos infectados con Android.Backdoor.Baohuo.1.origin superó los 58.000. Al mismo tiempo, se vieron afectados cerca de 3.000 modelos distintos de smartphones, tabletas, decodificadores de TV e incluso vehículos con ordenadores de a bordo basados en Android.

Países con mayor número de dispositivos infectados por Android.Backdoor.Baohuo.1.origin

Estadísticass

Según las estadísticas de detección de Dr.Web Security Space para dispositivos móviles, en 2025 las amenazas más comunes para Android fueron los distintos tipos de malware: los usuarios se enfrentaron a ellos en el 81,11 % de los casos. A continuación, con una cuota del 10,73 %, se situaron las aplicaciones potencialmente peligrosas. El tercer lugar lo ocuparon los programas publicitarios, que se detectaron en el 5,89 % de los casos. La menor actividad correspondió al software no deseado, con un 2,27 % de las detecciones.

En comparación con el año anterior, aumentó la proporción de malware y de aplicaciones potencialmente peligrosas, mientras que la del software no deseado y publicitario disminuyó.

Malware

Durante varios años, los troyanos publicitarios de la familia Android.HiddenAds han seguido siendo líderes en número de detecciones de malware. En 2025 la situación no cambió, aunque en los últimos 12 meses su cuota se redujo ligeramente, del 31,95 % al 27,42 %.

Estos troyanos muestran publicidad intrusiva en forma de banners a pantalla completa y vídeos. Para dificultar a los usuarios la detección y eliminación del malware de los dispositivos infectados, tras la instalación intentan «ocultarse», por ejemplo, escondiendo o sustituyendo sus iconos en el menú de la pantalla principal.

El representante más activo de la familia resultó ser Android.HiddenAds.657.origin, que concentró más de un tercio de las detecciones. Este troyano llamó la atención de nuestros analistas de malware ya en 2024 y desde entonces ha logrado situarse en cabeza. Es una de las múltiples variantes de Android.HiddenAds.1994, un malware conocido desde 2021. También se propagaron varias de sus nuevas versiones, como Android.HiddenAds.666.origin y Android.HiddenAds.673.origin. No puede descartarse que con el tiempo también asciendan a las primeras posiciones, como ya ocurrió anteriormente con otras modificaciones de Android.HiddenAds.1994.

A lo largo del año, los usuarios volvieron a encontrarse con la subfamilia Android.HiddenAds, Aegis; no obstante, la proporción de este tipo de malware dentro del total de detecciones de la familia se redujo de forma notable, del 17,37 % al 3,11 %. Estos troyanos se caracterizan, entre otras cosas, por su capacidad para ejecutarse automáticamente tras la instalación. Entre ellos, las variantes más activas fueron Android.HiddenAds.Aegis.1 y Android.HiddenAds.Aegis.8.origin.

El segundo malware más popular fueron los troyanos publicitarios Android.MobiDash, cuya cuota aumentó del 5,38 % en 2024 al 15,64 % en 2025. Entre ellos destacó Android.MobiDash.7859. A continuación se situaron los programas falsos Android.FakeApp, utilizados con fines fraudulentos y que, en lugar de la funcionalidad prometida, cargan diversos sitios web. Estos representaron el 10,94 % de las detecciones, una cifra inferior a la de 2024, cuando su cuota alcanzó el 18,28 %. Este descenso se debió, entre otros factores, a una menor actividad del troyano Android.FakeApp.1600, que, no obstante, sigue siendo el representante más popular de la familia. Su principal función es cargar sitios de casinos en línea.

La cuota de los troyanos de la familia Android.Spy, que incorporan diversas funciones de espionaje, se redujo del 11,52 % al 3,09 %. Al mismo tiempo, aumentó la actividad de los troyanos bancarios: su proporción sobre el total de detecciones de aplicaciones maliciosas alcanzó el 6,94 %, frente al 6,29 % del año anterior.

En 2025, el número de detecciones de comprimidores de software aumentó del 5,49 % al 6,01 %. Este tipo de herramientas también puede ser utilizado por los delincuentes para proteger el malware frente a su detección y análisis. Con mayor frecuencia, en los dispositivos protegidos se detectaron programas maliciosos que utilizaban el comprimidor Android.Packed.57146.

Se propagaron diversas modificaciones maliciosas del messenger WhatsApp. Entre ellas se encontraban versiones (detectadas por Dr.Web como Android.Click.1812) que cargaban sitios web sin autorización de las víctimas. Asimismo, se observó un aumento de la actividad de los troyanos multifuncionales de la familia Android.Triada, que los atacantes pueden integrar en el firmware de dispositivos Android. Su cuota aumentó del 2,74 % al 7,48 %.

Las diez aplicaciones Android maliciosas detectadas con mayor frecuencia en 2025:

Android.HiddenAds.657.origin

Android.HiddenAds.4214

Android.HiddenAds.655.origin

Android.HiddenAds.4213

Android.HiddenAds.666.origin

Programas troyanos destinados a mostrar publicidad intrusiva. Los representantes de esta familia suelen propagarse haciéndose pasar por aplicaciones inofensivas y, en algunos casos, son instalados en el directorio del sistema por otro malware. Al llegar a los dispositivos Android, estos troyanos publicitarios suelen ocultar su presencia al usuario, por ejemplo, al «esconder» el icono de la aplicación en el menú de la pantalla principal.

Android.MobiDash.7859

Un programa troyano que visualiza publicidad importuna. Es un complemento que los desarrolladores de software incrustan en aplicaciones.

Android.FakeApp.1600

Un programa troyano que carga el sitio web indicado en su configuración. Las modificaciones conocidas de este malware cargan un sitio web de un casino en línea.

Android.Click.1812

Detección de mods maliciosos del messenger WhatsApp que pueden cargar varios sitios web en modo de Segundo plano de forma no autorizada por el usuario.

Android.Packed.57146

Detección de malware comprimido con un ofuscador del código commercial popular.

Android.Triada.5847

Detección del comprimidor para troyanos de la familia Android.Triada destinado para proteger los mismos contra su análisis y detección. Con mayor frecuencia, los malintencionados lo usan junto con los mods maliciosos del messenger Telegram donde estos troyanos están directamente incrustados.

Software no deseado

El software no deseado más popular en 2025 volvió a ser el representado por las aplicaciones Program.FakeMoney.11, que concentraron el 51,96 % de las detecciones. Estas aplicaciones proponen a los usuarios realizar algunas tareas a cambio de una recompensa y prometen supuestamente la posibilidad de convertirla posteriormente en dinero real. En la práctica, no se produce ningún pago. Junto con Program.FakeMoney.11 también se propagaron otros programas similares, como Program.FakeMoney.14 y Program.FakeMoney.16, aunque los usuarios se encontraron con ellos con mucha menos frecuencia.

En segundo lugar, con un 10,37 %, se situaron las aplicaciones Program.FakeAntiVirus.1, que imitan el funcionamiento de un antivirus y detectan amenazas inexistentes. Para «eliminar» la supuesta infección, ofrecen adquirir la versión completa del software.

Las aplicaciones Program.CloudInject.1, que se modifican a través del servicio en la nube CloudInject, ocuparon el tercer puesto en cuanto a propagación, con una cuota del 6,41 %. Muy cerca de ellas, en la cuarta posición, se situaron sus variantes detectadas como Program.CloudInject.5, con un 5,08 %. Las modificaciones de estas aplicaciones se realizan directamente en un servidor remoto, y el acceso al servicio lo proporciona la utilidad Tool.CloudInject, que actúa únicamente como una interfaz para trabajar con él. Durante la modificación, a las aplicaciones se les añaden permisos de sistema peligrosos y código ofuscado.

Además, a través del servicio CloudInject, los modders pueden gestionar a distancia las aplicaciones modificadas, por ejemplo, bloquearlas y exigir la introducción de un código para poder seguir utilizándolas.

En el año 2025 se observó un ligero crecimiento del número de detecciones de algunos programas que pueden ser aplicados para observar a usuarios y controlar su actividad. Para los malintencionados estas herramientas se convierten en software espía. Así, por ejemplo, la parte de la aplicación Program.TrackView.1.origin y su variante Program.TrackView.2.origin subió del 2,40% al 2,91% y del 0,21% al 0,97% respectivamente. La parte de Program.SecretVideoRecorder.1.origin subió del 2,03% al 2,56%, y de su modificación Program.SecretVideoRecorder.2.origin — del 0,90% al 1,02%. El indicador del programa Program.SnoopPhone.1.origin subió del 0,31% al 1,01%.

Diez tipos de malware detectados con mayor frecuencia en el año 2025:

Program.FakeMoney.11

Program.FakeMoney.14

Detección de aplicaciones que supuestamente permiten ganar dinero al realizar algunas acciones o tareas. Estos programas simulan la acumulación de recompensas y exigen reunir una cantidad mínima para poder retirar el «dinero ganado». Por lo general, incluyen una lista de sistemas de pago y bancos populares a través de los cuales, supuestamente, sería posible transferir las recompensas. Sin embargo, incluso cuando los usuarios logran acumular la cantidad necesaria para el retiro, los pagos prometidos nunca se realizan. Esta entrada también se utiliza para identificar otro software no deseado basado en el código de este tipo de aplicaciones.

Program.FakeAntiVirus.1

Detección de adware que imita el funcionamiento de software antivirus. Estos programas pueden informar sobre las amenazas no existentes y engañar a usuarios al requerir la compra de una versión completa.

Program.CloudInject.1

Program.CloudInject.5

Detección de aplicaciones Android modificadas mediante el servicio en la nube CloudInject y la utilidad Android homónima (añadida a la base de datos de virus de Dr.Web como Tool.CloudInject). Los programas de este tipo se modifican en un servidor remoto, y el usuario interesado en su alteración (el modder) no controla qué elementos se integran realmente en ellos. Además, las aplicaciones obtienen un conjunto de permisos de sistema peligrosos. Tras la modificación, el modder puede administrarlas a distancia: bloquearlas, mostrar diálogos configurables, rastrear la instalación y desinstalación de otro software, etc.

Program.TrackView.1.origin

Program.TrackView.2.origin

Detección de la aplicación que permite supervisar a los usuarios a través de dispositivos en Android. Con este programa los malintencionados pueden detectar la ubicación de los dispositivos objetivo, usar la cámara para grabar vídeos y crear fotos, realizar la escucha a través del micro, crear grabaciones de audio etc.

Program.SecretVideoRecorder.1.origin

Program.SecretVideoRecorder.2.origin

Detección de varias versiones de la aplicación para la grabación de fotos y vídeos en segundo plano a través de las cámaras incrustadas de dispositivos en Android. Este programa puede funcionar sin permiso de usuario, al permitir desactivar las notificaciones sobre la grabación, así como sustituir el icono y la descripción de la aplicación por las falsas. Esta funcionalidad lo convierte en potencialmente peligroso.

Program.SnoopPhone.1.origin

Programa para supervisar a titulares de dispositivos en Android. Permite leer los SMS, recibir la información sobre las llamadas telefónicas, supervisar la ubicación y realizar la grabación de audio del entorno.

Programas potencialmente peligrosos

En 2025, el software potencialmente peligroso más popular fue el representado por aplicaciones modificadas mediante la herramienta NP Manager. Se trata de una utilidad para la modificación de aplicaciones que incluye varios módulos destinados para ofuscar y proteger el código, así como para esquivar la verificación de la firma digital tras la modificación. Los delincuentes la utilizan con frecuencia para proteger malware y dificultar su detección por parte de los antivirus. En comparación con 2024, la proporción de este tipo de programas aumentó del 24,52 % al 53,59 %, y ya representaron más de la mitad de todas las detecciones de software potencialmente peligroso. Con mayor frecuencia, en los dispositivos protegidos se encontraban las variantes Tool.NPMod.3 (32,85%), Tool.NPMod.1 (12,61%), Tool.NPMod.1.origin (3,02%) y Tool.NPMod.4 (2,31%).

El número de detecciones de Tool.Androlua aumentó del 3,93 % al 8,11 %. Se trata de una serie de frameworks creados para el desarrollo de aplicaciones Android en el lenguaje de programación Lua. Estos requieren numerosos permisos del sistema, incluido el uso del servicio de accesibilidad de Android. Las aplicaciones creadas con su ayuda se basan en scripts Lua que están cifrados y solo se descifran inmediatamente antes de su ejecución. Este tipo de scripts puede resultar potencialmente malicioso.

Asimismo, la proporción de aplicaciones modificadas mediante la utilidad Tool.LuckyPatcher. Creció del 8,16 % al 10,06 %. Esta herramienta modifica los programas instalados al descargar de Internet los scripts especialmente preparados para ello.

Al mismo tiempo, la parte de las utilidades Tool.SilentInstaller que permiten iniciar las aplicaciones en Android sin su instalación bajó del 33,10% al 10,55%. Las variantes más populares de la familia en el año 2025 fueron Tool.SilentInstaller.14.origin (4,66%), Tool.SilentInstaller.6.origin (2,07%) y Tool.SilentInstaller.7.origin (1,88%). Además, del 13,17% al 2,58%, bajó la parte de programas protegidos por el comprimidor Tool.Packer.1.origin.

Diez tipos de software potencialmente peligroso detectado en dispositivos en Android en el año 2025:

Tool.NPMod.3

Tool.NPMod.1

Tool.NPMod.1.origin

Tool.NPMod.4

Detección de aplicaciones en Android modificadas con la utilidad NP Manager. Esta utilidad contiene los módulos para la ofuscación y la protección del código de software, así como para esquivar su firma digital una vez modificado. La ofuscación añadida por la misma se usa en malware para dificultar su detección y análisis.

Tool.Androlua.1.origin

Detección de algunas versiones potencialmente peligrosas del framework especializado para desarrollar programas en Android en lenguaje script de programación Lua. La lógica básica de aplicaciones Lua está en los scripts correspondientes que están cifrados y se descifran por el interpretados antes de ser ejecutados. Con frecuencia, este framework de forma predeterminada solicita acceso a múltiples permisos de sistema para su funcionamiento, así como para usar el servicio de posibilidades especiales del SO Android. Como resultado, los scripts Lua ejecutados a través del mismo pueden realizar varias acciones maliciosas según los permisos obtenidos.

Tool.LuckyPatcher.2.origin

Tool.LuckyPatcher.1.origin

Utilidad que permite modificar las aplicaciones en Android instaladas (crear los parches para los mismos) para modificar su lógica de funcionamiento o esquivar alguna restricción. Por ejemplo, con la misma los usuarios pueden intentar desactivar la comprobación del acceso root en programas bancarios o recibir los recursos ilimitados en los juegos. Para crear los parches, la utilidad descarga de Internet los scripts creados a propósito que cualquier persona interesada puede crear y añadir a la base común. La funcionalidad de estos scripts puede así mismo resultar maliciosa, por lo tanto, los parches creados pueden ser potencialmente peligrosos.

Tool.SilentInstaller.14.origin

Plataforma potencialmente peligrosa que permite a las aplicaciones iniciar los archivos APK sin instalar los mismos. Crea un entorno de ejecución virtual que no afecta al sistema operativo básico.

Tool.Packer.1.origin

Utilidad comprimidora especializada para proteger las aplicaciones en Android contra modificación e ingeniería inversa. No es maliciosa, pero puede ser usada para proteger tanto los programas inofensivos como troyanos.

Adware

Entre adware en el año 2025 los más populares fueron las modificaciones de terceros de la aplicación WhatsApp detectadas como Adware.ModAd.1. Estas modificaciones tienen implementada la funcionalidad para abrir enlaces en caso de trabajar con el messenger. Desde estos enlaces se realiza la redirección de los sitios web publicitados. Comparado con el año 2024, la parte de Adware.ModAd.1 del número total de adware detectado en dispositivos protegidos bajó del 47,45% al 26,90%.

Los módulos Adware.Adpush incrustados en programas en Android, que visualizan notificaciones de publicidad, ocupan el segundo lugar, durante el año su actividad aumentó del 14,76% al 26,19%. El tercer lugar con un indicador del 8,88% lo ocuparon los representantes de la familia Adware.Basement cuya parte sigue siendo casi la misma comparado con el año anterior. Estos programas pueden visualizar publicidad que lleva a los sitios web maliciosos.

Las familias de adware Adware.Airpush también fueron populares (su número de detecciones subió del 4,35% al 5,14%), Adware.Fictus (crecimiento del 3,29% al 6,21%), Adware.Youmi (crecimiento del 1,62% al 2,91%) así como Adware.Youmi (рост с 1,62% до 2,91%) а также Adware.Leadbolt (crecimiento del 2,26% al 2,41%) y Adware.Jiubang (crecimiento del 1,70% до 2,38%).

Diez tipos de adware más populares detectados en dispositivos en Android en el año 2025:

Adware.ModAd.1

Detección de algunas versiones modificadas (mods) del messenger WhatsApp cuyas funciones tienen implementado un código para cargar enlaces específicos mediante visualización web durante el uso del messenger. Desde estas direcciones de Internet se redirige a los sitios web publicitados — por ejemplo, los casinos en línea y operadores de apuestas, sitios web para adultos

Adware.AdPush.3.origin

Adware.Adpush.21846

Adware.AdPush.39.origin

Módulos de publicidad que pueden ser integrados en programas en Android. Visualizan notificaciones de publicidad que engañan a usuarios. Por ejemplo, estas notificaciones pueden parecer mensajes del sistema operativo. Además, estos módulos recopilan algunos datos privados, y también pueden cargar otras aplicaciones e iniciar su instalación.

Adware.Basement.1

Aplicaciones que visualizan publicidad importuna que con frecuencia lleva a los sitios web maliciosos y fraudulentos. Tienen la base de código común con programas no deseados Program.FakeMoney.11.

Adware.Fictus.1.origin

Un módulo de publicidad que los malintencionados incrustan en versiones clones de juegos populares en Android y programas. Su integración en programas se realiza con un comprimidor especializado net2share. Las copias de software creadas de esta forma se propagan a través de varios catálogos de aplicaciones y visualizan publicidad importuna una vez instaladas.

Adware.Airpush.7.origin

Complementos integrados en aplicaciones en Android que muestran varios tipos de publicidad. Según la versión y la modificación, puede tratarse de notificaciones publicitarias, ventanas emergentes o banners. Mediante estos módulos, los delincuentes suelen propagar malware ofreciendo instalar algún tipo de software. Además, estos módulos transfieren información confidencial de varios tipos a un servidor remoto.

Adware.Youmi.4

Detección de un módulo de publicidad no deseado que coloca accesos directos de publicidad en la pantalla principal de dispositivos en Android.

Adware.Jiubang.1

Software de publicidad no deseado para dispositivos en Android que al instalar aplicaciones visualiza un banner con software recomendado para la instalación.

Adware.Inmobi.1

Detección de algunas versiones de adware SDK Inmobi capaces de realizar llamadas telefónicas y añadir eventos al calendario de dispositivos en Android.

Amenazas en Google Play

En 2025, el laboratorio antivirus de la empresa Doctor Web detectó en el catálogo de Google Play más de 180 tipos de malware, no deseados y publicitarios, que en conjunto fueron instalados al menos 2.165.040 veces. Entre ellos hubo varias modificaciones de los troyanos Android.HiddenAds.4213 y Android.HiddenAds.4215, que ocultaban su presencia en los dispositivos infectados y mostraban publicidad superpuesta a la interfaz del sistema operativo y de otras aplicaciones. Estos troyanos se propagaban haciéndose pasar por editores de fotos, aplicaciones para fotos, grabación de vídeo y otro software.

Los programas Time Shift Cam y Fusion Collage Editor fueron troyanos publicitarios Android.HiddenAds

Haciéndose pasar por software oficial de la criptobolsa dYdX y de las plataformas blockchain Raydium y Aerodrome Finance, los ciberdelincuentes propagaban los troyanos Android.CoinSteal.202, Android.CoinSteal.203 y Android.CoinSteal.206, que robaban criptomoneda.

En los programas Raydium y Dydx Exchange se ocultaba software troyano para robar criptomoneda

Este malware ofrecía a los usuarios introducir una frase mnemotécnica supuestamente para conectar un monedero de criptomonedas; sin embargo, en realidad los datos introducidos se enviaban a los delincuentes. Para confundir aún más a las posibles víctimas, los formularios para introducir la frase mnemotécnica podían estar camuflados como solicitudes procedentes de otras plataformas de criptomonedas.

Android.CoinSteal.206 visualiza un formulario phishing supuestamente en nombre de la criptobolsa PancakeSwap y solicita una frase mnemotécnica para acceder al criptomonedero

Durante el año nuestros expertos detectaron en Google Play más de 80 tipos de malware de la familia Android.Joker que suscribe a los usuarios a servicios de pago. Se propagaban camuflados como software de varios tipos, incluidos los messengers, programas para hacer fotos, utilidades del sistema, editores de imágenes y programas para trabajar con documentos.

Unos ejemplos de troyanos detectados, Android.Joker: Android.Joker.2494 se propagaba como messenger File Text Messages, y Android.Joker.2496 — como utilidad Useful Cleaner para optimizar el funcionamiento del smartphone

Los ciberdelincuentes volvieron a propagar todo tipo de programas falsos Android.FakeApp, utilizados en diversas estafas. Su principal función es cargar páginas web objetivo. Algunos de estos troyanos se hacían pasar por software de temática financiera. Dichas aplicaciones cargaban sitios web fraudulentos supuestamente relacionados con inversiones y ganancias en línea, así como sitios de phishing. Otros programas falsos Android.FakeApp se distribuían bajo la apariencia de juegos y, en determinadas condiciones, podían cargar sitios de casinos en línea y casas de apuestas. En total, registramos más de 100 aplicaciones de este tipo en Google Play.

Unos ejemplos de aplicaciones falsas Android.FakeApp. El troyano Android.FakeApp.1863, que se ocultaba en el programa TPAO, estaba destinado para usuarios turcos y les proponía administrar sus depósitos e ingresos. Y el troyano ,Android.FakeApp.1840 se propagaba como juego Pino Bounce y podía cargar un sitio web de un casino en línea

Los analistas de virus de Doctor Web también detectaron nuevo software publicitario no deseado Adware.Adpush.21912 que se ocultaba en el programa Coin News Promax con información sobre criptomoneda. Adware.Adpush.21912 visualiza notificaciones al pulsar las cuales en WebView se carga un enlace establecido por el servidor C2.

La aplicación Coin News Promax de Google Play era adware Adware.Adpush.21912

Además, nuestros expertos detectaron un programa no deseado Program.FakeMoney.16 que se difundía como aplicación Zeus Jackpot Mania. En la misma, los usuarios obtenían recompensas virtuales de forma lúdica, que supuestamente podían convertir más tarde en dinero real y retirar desde la aplicación.

El programa Zeus Jackpot Mania era una aplicación no deseada Program.FakeMoney.16

Para «retirar» el dinero, el programa solicitaba algunos datos, pero los usuarios no recibían ningunos pagos.

Program.FakeMoney.16 pide indicar el nombre completo del usuario y la información sobre la cuenta bancaria

Troyanos bancarios

Según las estadísticas de detección de Dr.Web Security Space para dispositivos móviles, en 2025 la proporción de troyanos bancarios sobre el total de malware detectado fue del 6,94 %, ligeramente por encima del 6,29 % registrado el año anterior. Durante los tres primeros meses, la actividad de los troyanos bancarios se mantuvo aproximadamente en el mismo nivel; no obstante, a principios del segundo trimestre aumentó de forma notable. Posteriormente, empezó a disminuir de manera gradual, alcanzando el mínimo anual en julio. A partir de agosto, el número de detecciones volvió a crecer y ya en octubre alcanzó su máximo. Hacia finales de año se observó un nuevo descenso.

En 2025, los delincuentes siguieron utilizando varias familias populares de troyanos bancarios en los ataques llevados a cabo. Entre las más activas se encontraban las amenazas Android.Banker.Mamont, Coper, Android.BankBot.Ermac y algunas otras. Además, se detectaron nuevas versiones de los troyanos NGate, que utilizan tecnología NFC para robar dinero. Este malware transmite a los atacantes los datos del chip NFC de los dispositivos infectados, lo que permite a los estafadores retirar fondos de las cuentas de las víctimas en cajeros automáticos o realizar compras mediante pagos sin contacto, sin necesidad de una participación adicional por parte de los usuarios. Entre las modificaciones más activas se encontraban Android.Banker.NGate.8, Android.Banker.NGate.17, Android.Banker.NGate.5.origin.

También continuó la propagación de Android.SpyMax, malware con funciones de espionaje basadas en el código fuente, ya de acceso público, del troyano RAT SpyNote. Los ciberdelincuentes los utilizan, entre otras cosas, como troyanos bancarios. No obstante, la actividad de Android.SpyMax bajó en comparación con 2024. Este malware representó el 12,35 % de las detecciones de troyanos bancarios, frente al 32,04 % registrado el año anterior.

En 2025, los usuarios rusos se enfrentaron con mayor frecuencia a varios troyanos bancarios que, según la clasificación de la empresa Doctor Web, forman parte de la amplia familia Mamont (Android.Banker.790.origin, Android.Banker.Mamont.3.origin, Android.Banker.Mamont.28.origin). Esta familia incluye una gran variedad de aplicaciones maliciosas que los creadores de malware siguen modificando y desarrollando activamente. Estos programas interceptan SMS con códigos de un solo uso de entidades financieras y roban datos de tarjetas bancarias y otra información confidencial.

A lo largo del año, nuestros especialistas también observaron actividad de troyanos bancarios dirigidos a residentes de Uzbekistán y de países limítrofes, como Armenia, Azerbaiyán y Kirguistán. En los dispositivos protegidos se detectaron con mayor frecuencia Android.Banker.951.origin, Android.Banker.881.origin y Android.Banker.963.origin, que roban SMS de verificación enviados por entidades financieras. Los ciberdelincuentes modifican constantemente este tipo de malware para dificultar su detección. Los usuarios de Turquía fueron atacados con mayor frecuencia por los troyanos bancarios Android.BankBot.Coper.12.origin, Android.Banker.5685 y Android.Banker.864.origin, que también son capaces de sustraer el contenido de los mensajes SMS.

Al mismo tiempo, los residentes de Irán se enfrentaron a los troyanos Android.BankBot.1190.origin, Android.BankBot.1191.origin y sus modificaciones. Este malware roba la información bancaria de los mensajes SMS: buscan en ellos datos de tarjetas bancarias, cuentas de la víctima, saldo disponible, transacciones realizadas, etc., y posteriormente los envía a los delincuentes. Además, recopilan información de los contactos de la agenda y pueden enviar SMS por orden de los atacantes.

Los residentes de numerosos países del Sudeste Asiático y de la región Asia-Pacífico, incluidos Indonesia y Corea del Sur, fueron atacados por el troyano Android.BankBot.Remo.1.origin. Este malware utiliza funciones especiales de accesibilidad (Accessibility Services) para robar los datos de aplicaciones bancarias y de monederos de criptomonedas instaladas en los dispositivos infectados. Además del troyano Remo, los usuarios surcoreanos también se enfrentaron a los troyanos Android.BankBot.15140, Android.BankBot.Ermac.6.origin y GoldDigger (Android.BankBot.GoldDigger.9, Android.BankBot.GoldDigger.11).

El malware GoldDigger también se utilizó contra usuarios de Indonesia y Tailandia. Por su parte, el troyano bancario Android.BankBot.Gigabud.1.origin se empleó contra clientes de entidades financieras de Indonesia y Malasia. Al mismo tiempo, los delincuentes continuaron usando los troyanos MoqHao en ataques dirigidos a la audiencia japonesa. Se propagaron diversas modificaciones de MoqHao, como Android.Banker.672.origin, Android.Banker.5063, Android.Banker.740.origin y otras.

Uno de los troyanos bancarios dirigidos a residentes de la India fue Android.Banker.6209. Este troyano imita la apariencia de aplicaciones bancarias legítimas con el fin de robar datos de los usuarios, como nombres, números de tarjetas bancarias y códigos de seguridad CVV. Además, utiliza los dispositivos infectados para la minería encubierta de la criptomoneda Monero. También volvió a observarse la propagación de los troyanos bancarios RewardSteal, como Android.Banker.814.origin, Android.Banker.913.origin y Android.Banker.5132. Para robar datos bancarios, estos se camuflan como software supuestamente relacionado con entidades financieras indias, por ejemplo ICICI, SBI, Axis y PM Kisan.

Los propietarios brasileños de dispositivos Android fueron atacados con mayor frecuencia por el malware Android.BankBot.1183.origin, así como por varios representantes de la familia NGate: Android.Banker.NGate.8, Android.Banker.NGate.9 y Android.Banker.NGate.14.

En 2025, los creadores de malware continuaron utilizando varias técnicas para proteger los troyanos bancarios de Android frente al análisis y la detección. Por ejemplo, se propagaron varios métodos de ofuscación y ocultación de código, como DEX to C (conversión del código ejecutable DEX a código en lenguaje C), así como la ofuscación de aplicaciones maliciosas mediante la herramienta NP Manager.

Siguieron siendo populares las técnicas de manipulación del formato de archivos ZIP, que es el formato que utilizan en la práctica los archivos APK de las aplicaciones Android. Entre ellas se incluyen la manipulación de los campos compression method y compressed size en la estructura del encabezado del archivo local dentro del APK, así como el uso de datos incorrectos sobre el disco en los registros ECDR y CD. Sobre estos métodos ya hablamos con más detalle en el informe anterior, en la sección dedicada a los troyanos bancarios. Tras este tipo de manipulaciones, los troyanos siguen siendo plenamente funcionales, pero muchas herramientas de análisis estático los consideran dañados y no pueden procesarlos correctamente. Los creadores de malware empezaron a utilizar con mayor frecuencia los programas dropper para ocultar la carga maliciosa principal, por ejemplo, con el fin de esquivar los mecanismos internos de protección del catálogo de Google Play. Los ciberdelincuentes también recurren a asistentes basados en inteligencia artificial para escribir el código de los troyanos bancarios, lo que simplifica su desarrollo y favorece la aparición de nuevas familias. Además, cada vez usan con mayor frecuencia bots de Telegram para el control de los troyanos bancarios y la exfiltración de datos desde los dispositivos infectados.

Perspectivas y tendencias

En 2025 observamos una alta actividad de troyanos publicitarios, que siguen siendo las amenazas más populares para el sistema operativo Android. También volvieron a propagarse ampliamente varios programas falsos utilizados con fines fraudulentos, entre ellos para el phishing y el robo de dinero. Además, continuó el aumento del número de ataques con troyanos bancarios. Todas estas aplicaciones maliciosas constituyen una fuente de ingresos ilegales para los ciberdelincuentes, por lo que su popularidad se mantiene en niveles elevados. Es muy probable que el próximo año vuelvan a ser una de las principales herramientas de obtención de beneficios para los atacantes. Al mismo tiempo, los creadores de malware recurren cada vez más a bots de Telegram para controlar los troyanos bancarios, una tendencia que previsiblemente continuará.

La aparición del malware Android.Clipper.31,así como de nuevas versiones de los troyanos Android.Vo1d y Android.Triada en el firmware de smartphones y decodificadores de TV, indica que los delincuentes mantienen su interés en métodos de propagación que dificultan bastante la detección del malware. Es muy probable que esta tendencia se mantenga el próximo año y que veamos nuevos casos de malware preinstalado en smartphones, decodificadores de TV y otros tipos de dispositivos Android.

También cabe esperar la aparición de malware más complejo, capaz de realizar un amplio abanico de tareas. Entre ellos podrían encontrarse nuevos backdoors y distintos troyanos espía. Además, los creadores de malware volverán previsiblemente a utilizar catálogos oficiales de aplicaciones, incluido Google Play, para alojar software malicioso y no deseado.

Los delincuentes seguirán incorporando distintos mecanismos de protección en las herramientas que desarrollan y recurrirán con mayor frecuencia a asistentes basados en inteligencia artificial para escribir código, lo que probablemente dará lugar a la aparición de un mayor número de nuevas familias de malware.

La empresa Doctor Web supervisa de forma continua el panorama de amenazas en el segmento móvil y responde con rapidez a los nuevos desafíos. A los usuarios de Android les recomendamos instalar Dr.Web Security Space para dispositivos móviles, con el fin de protegerse frente al malware y otras aplicaciones peligrosas.

Indicadores de compromiso