Detectan un malware en Android que se disfraza de VPN e IPTV para robar datos

Un nuevo y sofisticado malware para Android, bautizado como Clopatra, ha sido identificado por investigadores de ciberseguridad como una de las amenazas móviles más avanzadas de 2025. Este troyano no solo roba dinero de aplicaciones bancarias y billeteras de criptomonedas, sino que también permite a los atacantes tomar el control total de los dispositivos, incluso cuando la pantalla está apagada.

El virus fue detectado por primera vez en marzo y, desde entonces, los analistas han confirmado más de 40 versiones diferentes, lo que indica que se encuentra en constante desarrollo y perfeccionamiento. El origen del malware apunta a un grupo de ciberdelincuentes turcos, quienes lo habrían creado desde cero con un enfoque específico en ataques financieros.

A la fecha, más de 3.000 dispositivos ya han sido infectados en Europa, lo que preocupa a especialistas que advierten sobre su rápida expansión. Clopatra se distribuye fuera de la Play Store oficial de Google, a través de páginas web maliciosas que ofrecen aplicaciones falsas, principalmente servicios de IPTV y VPN.

La infección comienza cuando los usuarios descargan una aplicación trampa llamada Modepro IPTV + VPN, que actúa como un instalador (“gotero”) para desplegar el troyano. Una vez ejecutado, el software solicita permisos de accesibilidad, un recurso diseñado para ayudar a personas con discapacidades, pero que los atacantes utilizan para controlar el teléfono de manera remota.

Con estos permisos, los ciberdelincuentes pueden simular toques en pantalla, leer el contenido visible, interceptar contraseñas y operar aplicaciones sin que la víctima lo note. El acceso completo abre la puerta al robo de credenciales bancarias, transferencias no autorizadas de dinero e incluso la sustracción de criptomonedas de billeteras móviles.

Clopatra no se limita al robo financiero. También permite espiar la actividad del usuario, recolectar datos personales y utilizar el dispositivo infectado como herramienta para futuras campañas de ciberdelincuencia.

El malware puede actuar en segundo plano aun cuando la pantalla del dispositivo está apagada, lo que aumenta su sigilo y eficacia. Además, contiene una lista de antivirus para Android que reconoce y trata de desactivar, con el fin de evitar su detección.

Investigadores de Cybersscurity explican que Clopatra fue diseñado con múltiples medidas de autoprotección. Incluye controles de integridad, detección de emuladores y procesos anti-depuración que dificultan el trabajo de los analistas de seguridad. Incluso utiliza licencias de software legítimas y técnicas de ofuscación que bloquean intentos de ingeniería inversa.

Una de las características más preocupantes es el uso de bibliotecas nativas en lugar de depender únicamente de Java o Kotlin, lo que complica aún más la identificación del código malicioso. Recientemente, los desarrolladores del troyano incorporaron cifrado de cadenas para ocultar aún más sus funciones internas.

Estas medidas convierten a Clopatra en una amenaza especialmente difícil de rastrear y eliminar. Según los expertos, es una clara señal de que los grupos de ciberdelincuentes están adoptando estrategias cada vez más profesionales y sofisticadas, similares a las utilizadas en ataques corporativos de gran escala.

Dado que Clopatra se propaga por sitios de descarga no oficiales, los especialistas recomiendan instalar aplicaciones únicamente desde la Play Store de Google o tiendas verificadas, además de desconfiar de enlaces que prometen servicios gratuitos de IPTV o VPN.

También sugieren mantener actualizado el sistema operativo, revisar los permisos solicitados por cada aplicación y contar con soluciones de seguridad que puedan detectar comportamientos anómalos.

Aunque por ahora la mayor parte de las infecciones se concentran en miles de dispositivos en Europa, el riesgo de propagación global es alto. Con un desarrollo tan activo, Clopatra se perfila como una de las amenazas móviles más relevantes del año y un recordatorio de que los ciberataques en móviles son tan graves como los que afectan a computadoras de escritorio.