Doctor Web: informe de la actividad de virus para dispositivos móviles en el I trimestre de 2026

1 de abril de 2026

Según los datos de las estadísticas de detecciones de Dr.Web Security Space para dispositivos móviles, en el I trimestre de 2026 continuó el descenso de la actividad del malware Android.MobiDash y Android.HiddenAds, que muestra publicidad molesta. Los primeros se detectaron en los dispositivos protegidos un 32,70 % menos, y los segundos, un 7,09 % menos en comparación con el IV trimestre del pasado año. Cedieron el liderazgo a los troyanos bancarios de la familia Android.Banker, cuya actividad aumentó más de 2,5 veces en los últimos 3 meses. Como resultado, estos se convirtieron en las amenazas para Android más extendidas. Este malware intercepta SMS con códigos de confirmación de operaciones bancarias, muestra ventanas de phishing y también puede imitar el aspecto del software bancario auténtico para robar datos confidenciales. Los usuarios se enfrentaron con mayor frecuencia a los troyanos de la subfamilia Android.Banker.Mamont, de la que forman parte diversas muestras de malware.

En el I trimestre se generalizó ampliamente el uso de aplicaciones a las que, con ayuda de herramientas de hacking para el modding NP Manager, se añadió código basura con el fin de confundir la lógica (15,35 % del número total de detecciones). Desde el otoño del año pasado, estas herramientas se utilizan activamente en los troyanos de la familia Android.Banker.Mamont para dificultar su detección por los antivirus, por lo que advertimos de que una u otra aplicación ha sido modificada. Los productos antivirus Dr.Web detectan este tipo de programas como Tool.Obfuscator.TrashCode.

Otro software potencialmente peligroso muy popular, a pesar del descenso del número de detecciones en un 31,65 %, volvió a ser el de los programas modificados con la utilidad NP Manager (detectados por Dr.Web como Tool.NPMod). Esta utilidad contiene varios módulos para la protección y ofuscación del código de los programas, así como para esquivar la verificación de su firma digital después de la modificación. Los ciberdelincuentes la utilizan para proteger el malware con el fin de dificultar su detección por los antivirus.

Las aplicaciones no deseadas más populares fueron los falsos antivirus Program.FakeAntiVirus, que supuestamente detectan amenazas y exigen adquirir la versión completa para su «eliminación». Además, los usuarios volvieron a enfrentar programas de las familias Program.FakeMoney y Program.CloudInject. Los primeros supuestamente permiten ganar dinero realizando varias tareas. Los segundos son software modificado a través del servicio en la nube CloudInject. Con su ayuda, a las aplicaciones se les añaden permisos del sistema peligrosos y código ofuscado cuya funcionalidad no se puede controlar.

Entre el adware, los líderes por número de detecciones fueron los programas optimizadores Adware.Bastion.1.origin. De forma periódica, crean notificaciones con mensajes engañosos sobre una supuesta falta de memoria y errores del sistema. Su objetivo es mostrar publicidad durante la «optimización». Otro adware popular fueron las aplicaciones Adware.Opensite.15, que los atacantes hacen pasar por herramientas de trucos para obtener recursos en juegos. En realidad, estos programas cargan diversos sitios con anuncios. También volvieron a difundirse programas con módulos publicitarios integrados Adware.AdPush.

En enero, la empresa Doctor Web informó a los usuarios sobre Android.Phantom, una nueva familia de troyanos clicker. Nuestros analistas de virus detectaron varias fuentes de distribución de este malware. Entre ellas, el catálogo oficial de aplicaciones GetApps para dispositivos Xiaomi, donde los troyanos fueron incorporados en varios juegos. Además, los ciberdelincuentes distribuían los clickers junto con mods de aplicaciones populares a través de varios canales de Telegram, servidores de Discord, recopilaciones de software en línea y sitios maliciosos.

Con ayuda de Android.Phantom, los atacantes inflan artificialmente los clics publicitarios en sitios web, utilizando para ello tecnologías de aprendizaje automático y WebRTC, una tecnología de transmisión de datos en streaming (incluido vídeo) a través del navegador. Los troyanos cargan en un WebView invisible los recursos de Internet objetivo junto con código JavaScript para simular acciones del usuario. La interacción con los anuncios se produce en uno de dos modos. Si en el dispositivo es posible utilizar WebRTC, los clickers Android.Phantom transmiten a los atacantes una pantalla virtual con el sitio cargado, y estos la controlan manualmente o mediante un sistema automatizado.

Si WebRTC no está disponible, se aplican scripts automatizados en lenguaje JavaScript que utilizan el framework TensorFlowJS. Los clickers descargan desde un servidor remoto el modelo de comportamiento necesario, así como JavaScript que contiene el propio framework y todas las funciones necesarias para el funcionamiento del modelo y la interacción con los sitios objetivo.

Durante el I trimestre, el laboratorio antivirus de la empresa Doctor Web registró la aparición de nuevas amenazas en el catálogo de Google Play. Entre ellas, numerosas aplicaciones troyanas, así Android.Joker, asó como el malware Android.Subscription.23 y Android.Subscription.24. Todos ellos han sido creados para suscribir a los usuarios a servicios de pago.

Según los datos Dr.Web Security Space para dispositivos móviles

Android.Banker.Mamont.80.origin

Troyano bancario que intercepta SMS con códigos de un solo uso de entidades de crédito, el contenido de las notificaciones y también recopila otra información confidencial. Esta incluye datos técnicos sobre el dispositivo infectado, la lista de aplicaciones instaladas, información sobre la tarjeta SIM, llamadas telefónicas, SMS recibidos y enviados.

Android.FakeApp.1600

Troyano que carga el sitio web especificado en su configuración. Las modificaciones conocidas de este malware cargan un sitio de casino en línea.

Android.HiddenAds.675.origin

Troyano destinado a mostrar publicidad intrusiva. Los representantes de la familia Android.HiddenAds suelen difundirse bajo la apariencia de aplicaciones inofensivas y, en algunos casos, otro malware los instala en el directorio del sistema. Una vez en los dispositivos Android, estos troyanos publicitarios suelen ocultar al usuario su presencia en el sistema; por ejemplo, «esconden» el icono de la aplicación del menú de la pantalla principal.

Android.Packed.57.origin

Detección de un ofuscador que, entre otras cosas, se utiliza para proteger malware (por ejemplo, algunas versiones de los troyanos bancarios Android.SpyMax).

Android.Click.1812

Detección de mods maliciosos del messenger WhatsApp, que pueden cargar diversos sitios en segundo plano sin autorización del usuario.

Program.FakeAntiVirus.1

Detección de programas publicitarios que imitan el funcionamiento del software antivirus. Estos programas pueden informar de amenazas inexistentes e inducir a error a los usuarios, exigiendo el pago de la versión completa.

Program.FakeMoney.11

Detección de aplicaciones que supuestamente permiten ganar dinero realizando una u otra acción o tarea. Estos programas simulan el abono de recompensas, y para retirar el dinero «ganado» es necesario acumular una determinada cantidad. Normalmente incluyen una lista de sistemas de pago y bancos populares a través de los cuales supuestamente es posible retirar las recompensas. Pero incluso cuando los usuarios consiguen acumular una cantidad suficiente para la retirada, los pagos prometidos no llegan. Esta detección también identifica otro software no deseado basado en el código de esos programas.

Program.CloudInject.5

Program.CloudInject.1

Detección de aplicaciones Android modificadas con ayuda del servicio en la nube CloudInject y de la utilidad Android del mismo nombre (añadida a la base de virus de Dr.Web como Tool.CloudInject). Estos programas se modifican en un servidor remoto, y el usuario interesado en su modificación (modder) no controla qué es exactamente lo que se integrará en ellos. Además, las aplicaciones reciben un conjunto de permisos peligrosos. Una vez modificados los programas, el modder puede administrarlos a distancia: bloquearlos, mostrar diálogos configurables, rastrear la instalación y desinstalación de otro software, etc.

Program.SnoopPhone.1.origin

Programa de vigilancia de los titulares de dispositivos Android. Permite leer SMS, obtener información sobre llamadas telefónicas, rastrear la ubicación del dispositivo y realizar grabaciones de audio del entorno.

Tool.Obfuscator.TrashCode.1

Tool.Obfuscator.TrashCode.2

Detección de programas Android a los que, con ayuda de herramientas de hacking para el modding de aplicaciones, se ha añadido código basura. Esta modificación se realiza con el fin de confundir la lógica de los programas. Esta técnica es frecuente en los troyanos bancarios y en las versiones pirata de software.

Tool.NPMod.3

Tool.NPMod.1

Detección de aplicaciones Android modificadas con ayuda de la utilidad NP Manager. Esta utilidad contiene módulos para la ofuscación y protección del código de los programas, así como para eludir la verificación de su firma digital tras la modificación. La ofuscación que añade se utiliza con frecuencia en el malware para dificultar su detección y análisis.

Tool.LuckyPatcher.2.origin

Utilidad que permite modificar aplicaciones Android instaladas (crear parches para ellas) con el fin de cambiar la lógica de su funcionamiento o eludir determinadas restricciones. Por ejemplo, con su ayuda los usuarios pueden intentar desactivar la comprobación del acceso root en programas bancarios u obtener recursos ilimitados en juegos. Para crear parches, la utilidad descarga de internet unos scripts especialmente preparados, que cualquiera puede crear y añadir a la base general. La funcionalidad de dichos scripts puede resultar incluso maliciosa, por lo que los parches creados pueden ser de peligro potencial.

Adware.Bastion.1.origin

Detección de programas optimizadores que de forma periódica crean notificaciones con mensajes engañosos sobre una supuesta falta de memoria y errores del sistema con el fin de mostrar publicidad durante la «optimización».

Adware.AdPush.3.origin

Módulo publicitario que puede integrarse en programas Android. Muestra notificaciones publicitarias que inducen a error a los usuarios. Por ejemplo, estas notificaciones pueden parecerse a mensajes del sistema operativo. Además, este módulo recopila una serie de datos confidenciales y también puede cargar otras aplicaciones e iniciar su instalación.

Adware.Opensite.15

Aplicaciones que se hacen pasar por herramientas de trucos para obtener recursos en juegos. En realidad, han sido creadas para mostrar publicidad. Estos programas reciben de un servidor remoto una configuración conforme a la cual cargan un sitio objetivo con anuncios: banners, ventanas emergentes, vídeos, etc.

Adware.Fictus.1.origin

Módulo publicitario que los atacantes integran en versiones clones de juegos y programas Android populares. Su integración en los programas se realiza mediante un comprimidor especializado net2share. Las copias de software creadas de este modo se distribuyen a través de varios catálogos de aplicaciones y, una vez instaladas, muestran publicidad no deseada.

Adware.Airpush.7.origin

Módulos de software integrados en aplicaciones Android que muestran diversos tipos de publicidad. En función de la versión y la modificación, puede tratarse de notificaciones publicitarias, ventanas emergentes o banners. Con ayuda de estos módulos, los atacantes suelen distribuir malware, proponiendo instalar uno u otro software. Además, estos módulos transmiten a un servidor remoto la información confidencial de varios tipos.

Amenazas en Google Play

En el I trimestre de 2026, los expertos del laboratorio antivirus de Doctor Web detectaron en el catálogo de Google Play nuevo malware Android.Joker, que suscribe a las víctimas a servicios de pago. Los troyanos se ocultaban en diversas utilidades para optimizar el funcionamiento de los dispositivos Android, y también se distribuían bajo la apariencia de messengers, software multimedia y otro tipo de programas. En total, los usuarios los instalaron al menos 370 000 veces.

Ejemplos de malware Android.Joker detectado en Google Play en el I trimestre del año 2026. Android.Joker.2511 fue incrustado en el messenger Private Chat Message, y Android.Joker.2524 — en el programa de cámara de fotos Magic Camera

Además, nuestros analistas de virus detectaron el malware Android.Subscription.23 y Android.Subscription.24, también destinado a suscribir a los usuarios a servicios de pago. Los troyanos cargan sitios web en los que, mediante la tecnología Wap Click, se activan suscripciones móviles de pago. En estos sitios se solicita a los usuarios el número de teléfono móvil, tras lo cual se intenta activar automáticamente el servicio. Ambas aplicaciones maliciosas fueron descargadas en conjunto desde el catálogo de Google Play más de 1 500 000 veces.

El malware Android.Subscription.23 y Android.Subscription.24 se distribuía bajo la apariencia de las aplicaciones Stream Hive y Prime Link para la gestión de finanzas personales; sin embargo, su única funcionalidad era cargar sitios para suscribir a los propietarios de dispositivos Android a servicios móviles de pago

Para proteger los dispositivos Android frente al malware y las aplicaciones no deseadas, recomendamos a los usuarios instalar los productos antivirus Dr.Web para Android.

Indicadores de compromiso