Troyano para Android que se hace pasar por servicios: guía completa

Los troyanos para Android que se hacen pasar por servicios legítimos se han convertido en una de las amenazas más serias para cualquiera que use el móvil para chatear, jugar, hacer compras o gestionar sus cuentas bancarias. No hablamos solo de virus molestos que muestran anuncios, sino de familias de malware extremadamente avanzadas capaces de controlar el dispositivo de forma remota, robar dinero, espiar conversaciones y hasta borrar el teléfono para no dejar rastro.

En los últimos años se han descubierto distintas campañas que aprovechan apps falsas, firmware manipulado, juegos modificados o versiones pirata de aplicaciones famosas para colar este tipo de troyanos: Android.Phantom, Triada, BRATA, RatOn, Joker y variantes de troyanos bancarios que usan servicios de accesibilidad. Todas comparten algo en común: se disfrazan de algo aparentemente inofensivo para que el usuario baje la guardia y les dé permisos críticos que les abren la puerta a todo el sistema. Para detectar compromisos profundos como un firmware adulterado conviene herramientas especializadas (usar MVT para saber si tu Android ha sido hackeado).

Qué es un troyano para Android y por qué es tan peligroso

Un troyano, o caballo de Troya en Android, es un tipo de malware que se camufla como una app o archivo útil para engañar al usuario y que este lo instale voluntariamente. A diferencia de otros tipos de malware, el troyano no suele propagarse solo, sino que aprovecha la confianza del usuario en una app, un juego, un enlace o un supuesto servicio para entrar en el sistema.

En Android, estos troyanos pueden hacerse pasar por aplicaciones bancarias, herramientas de productividad, reproductores multimedia, juegos, apps de mensajería o incluso actualizaciones del sistema. Una vez dentro, el objetivo suele ser robar credenciales, datos financieros, SMS con códigos de verificación, secuestrar cuentas de redes sociales, enviar spam o utilizar el móvil como parte de una red de dispositivos comprometidos.

Para lograrlo, muchos de estos malware abusan de los Servicios de Accesibilidad de Android, una función diseñada para ayudar a personas con dificultades de visión o movilidad, pero que también permite al atacante leer lo que hay en pantalla, pulsar botones virtuales, concederse nuevos permisos e incluso instalar otras aplicaciones sin que el usuario tenga que intervenir.

Además, los troyanos modernos suelen incluir módulos adicionales capaces de cambiar enlaces del navegador, interceptar notificaciones, grabar la pantalla, activar un servidor proxy en segundo plano o clonar datos NFC para llevar a cabo fraudes avanzados. El resultado es que tu móvil puede terminar siendo una herramienta más en manos de los ciberdelincuentes.

Android.Phantom: el troyano que usa aprendizaje automático y se esconde en juegos y mods

Una de las familias recientes más llamativas es Android.Phantom, detectada por investigadores del laboratorio de ciberseguridad Doctor Web. Este troyano se distribuye sobre todo a través de juegos y aplicaciones populares modificadas, y destaca porque incorpora técnicas de aprendizaje automático (machine learning) para automatizar su actividad maliciosa.

Android.Phantom puede operar en dos modos diferentes, que se activan según las órdenes de un servidor remoto de mando y control: modo fantasma y modo señalización. Gracias a estos dos perfiles de funcionamiento, el malware es capaz tanto de generar fraude publicitario como de usar el dispositivo infectado en actividades mucho más serias, como ataques distribuidos de denegación de servicio (DDoS) o intercambio encubierto de datos.

En el llamado modo fantasma, el troyano carga contenido web en segundo plano y simula clics en anuncios maliciosos mediante scripts de automatización que se apoyan en TensorFlowJS, un framework de machine learning para JavaScript. Todo esto sucede sin que el usuario vea nada en pantalla, lo que complica muchísimo identificar que algo va mal.

Cuando se activa el modo señalización, Android.Phantom es capaz de intercambiar datos, audio y vídeo en tiempo real sin que haga falta instalar nuevos programas. De esta forma, el móvil comprometido puede convertirse en un nodo activo dentro de una infraestructura de abuso, por ejemplo para coordinar ataques, retransmitir contenido o servir como punto de salto para otros delitos en la red.

El gran peligro de esta familia no es solo el fraude publicitario, sino el uso masivo de los teléfonos infectados como herramientas para enviar spam, participar en fraudes online, lanzar DDoS o robar información personal. Aunque muchas de estas acciones son silenciosas, suelen dejar pistas: consumo de batería inusualmente alto, aumento del tráfico de datos móviles sin explicación clara y un rendimiento general mucho más lento.

Según Doctor Web, la campaña de distribución de Android.Phantom afecta con especial intensidad a dispositivos Xiaomi. El troyano ha sido localizado en aplicaciones presentes en la tienda oficial Mi Store, subidas por un desarrollador identificado como Shenzhen Ruiren Network. En muchos casos, las apps se publicaron inicialmente sin código malicioso y una actualización posterior introdujo el troyano, lo que genera confianza en los usuarios antes de ejecutar la infección.

Además, se han detectado variantes de Android.Phantom propagadas a través de versiones modificadas de Spotify que prometen funciones premium gratis. Estas versiones alteradas se distribuyen mediante canales de Telegram y páginas no oficiales, una vía clásica para enganchar a quienes buscan saltarse las limitaciones de las apps legítimas.

Los especialistas recomiendan de forma tajante no descargar APK modificados desde webs o canales de Telegram de dudosa procedencia, mantener un antivirus actualizado en el teléfono y vigilar el comportamiento del dispositivo. Si se sospecha de infección, conviene arrancar el móvil en modo seguro, revisar a mano la lista de aplicaciones instaladas, desinstalar cualquier programa sospechoso y activar Google Play Protect para realizar un análisis de seguridad.

Triada: el troyano que llega preinstalado en el firmware y controla todas tus apps

Si Android.Phantom ya suena preocupante, la familia Triada da un paso más allá. Detectada inicialmente en 2016 por expertos de Kaspersky, Triada marcó un antes y un después en el malware móvil avanzado para Android. Esta amenaza se inyecta en casi todos los procesos que se ejecutan en el dispositivo, reside principalmente en la memoria RAM y es capaz de intervenir sobre múltiples aplicaciones a la vez.

Con el tiempo, Google y los fabricantes reforzaron la seguridad del sistema, limitando incluso a usuarios con permisos de root las modificaciones en las particiones del sistema. Sin embargo, los actores detrás de Triada evolucionaron la técnica y comenzaron a infectar el firmware en la cadena de suministro, es decir, antes de que el teléfono llegue al usuario final.

En la versión moderna, identificada como Backdoor.AndroidOS.Triada.z, el troyano viene preinstalado en las particiones de sistema de teléfonos Android falsificados vendidos en mercados online. Al estar integrado a tan bajo nivel, eliminarlo es casi imposible sin flashear de nuevo el firmware oficial o reemplazar el dispositivo.

Una característica clave de esta variante es que puede atacar cualquier app que se ejecute en el teléfono. Cada vez que el usuario abre una aplicación, Triada inserta una copia de sí mismo y puede activarse a demanda. Además, incluye módulos especializados para Telegram, WhatsApp, Instagram, navegadores, TikTok, Facebook, LINE, Skype y apps de criptomonedas, entre muchas otras.

Por ejemplo, en Telegram descarga dos módulos: uno que se conecta diariamente al servidor de mando y control para enviar el número de teléfono de la víctima y los datos completos de autenticación (incluyendo el token de acceso), y otro que filtra todos los mensajes, se comunica con un bot y borra las notificaciones sobre nuevos inicios de sesión para que el usuario no sospeche.

En Instagram, Triada busca cookies de sesiones activas y las envía a los atacantes, lo que permite tomar el control total de la cuenta. En navegadores como Chrome, Opera o Firefox, el módulo se conecta al servidor de comando por TCP y redirige enlaces legítimos a sitios de publicidad o, si así lo deciden los atacantes, a páginas de phishing diseñadas para robar credenciales.

En WhatsApp, el troyano cuenta con dos módulos: uno que envía datos de sesión al servidor cada pocos minutos, facilitando el acceso a la cuenta, y otro que intercepta las funciones de envío y recepción de mensajes. De este modo, el malware puede mandar mensajes en nombre de la víctima y borrarlos al instante, complicando que se detecte la actividad maliciosa.

En apps como LINE o Skype, el comportamiento es similar: recopilación de tokens, cookies y datos internos que permiten a los delincuentes hacerse pasar por el usuario desde otros dispositivos. En TikTok, Triada extrae información de las cookies y los datos necesarios para interactuar con la API de la plataforma.

La cosa no queda ahí: Triada incluye un módulo de SMS capaz de leer todos los mensajes entrantes, extraer códigos (por ejemplo, de verificación bancaria), responder automáticamente a ciertos SMS para suscribir a la víctima a servicios de pago y enviar mensajes arbitrarios cuando el servidor así lo ordena. Otro módulo complementario desactiva las protecciones nativas de Android contra el envío de SMS premium sin consentimiento.

También incorpora un módulo de llamadas, integrado en la app del teléfono, que ya implementa parcialmente funciones de suplantación de número. Aunque parece estar aún en desarrollo, apunta a permitir que las llamadas salientes muestren un número diferente al real, facilitando nuevas estafas.

Otro componente muy peligroso es un proxy inverso que convierte el teléfono en un servidor intermedio, ofreciendo a los atacantes acceso a direcciones IP arbitrarias “como si” procedieran del dispositivo de la víctima. Esto permite ocultar el origen real de diversas actividades ilícitas en Internet.

Para los usuarios de criptomonedas, Triada incorpora un clipper que vigila el portapapeles y sustituye automáticamente las direcciones de wallets copiadas por direcciones controladas por los atacantes. Además, un ladrón de criptomonedas analiza la actividad de la víctima y reemplaza direcciones en cualquier parte de la interfaz, incluso modificando botones o imágenes con códigos QR para redirigir los fondos. Se estima que con estas técnicas los delincuentes han logrado robar cientos de miles de dólares en criptoactivos.

Las investigaciones muestran que, en los dispositivos afectados, el nombre del firmware difiere del oficial en solo una letra. Por ejemplo, donde el firmware legítimo es TGPMIXM, el falso infectado aparece como TGPMIXN. Todo apunta a una comprometida en alguna fase de la cadena de suministro, con tiendas que venden teléfonos aparentemente nuevos sin saber que vienen adulterados de fábrica.

La mejor defensa frente a Triada pasa por comprar teléfonos únicamente en distribuidores oficiales, verificar el firmware e instalar una solución de seguridad de confianza para Android. Si se detecta Triada, lo recomendable es instalar el firmware oficial o acudir a un servicio técnico, revisar todas las cuentas de mensajería y redes sociales, cerrar sesiones activas sospechosas y cambiar contraseñas con ayuda de un gestor de contraseñas seguro. Como parte de esa protección, conviene instalar una solución de seguridad de confianza para Android y seguir buenas prácticas.

RatOn, BRATA y otros troyanos bancarios que se hacen pasar por servicios

Junto a Android.Phantom y Triada, están emergiendo otras familias de troyanos bancarios para Android especialmente centradas en robar dinero y secuestrar cuentas financieras. Tres nombres que conviene tener muy presentes son RatOn, BRATA y Joker, además de diferentes variantes de malware que se disfrazan de apps de servicios, bancos o plataformas conocidas.

RatOn es un troyano relativamente nuevo diseñado desde cero para el fraude bancario. Comenzó como una herramienta para ataques de retransmisión NFC (usando técnicas como Ghost Tap), pero ha evolucionado hasta convertirse en un troyano de acceso remoto (RAT) con capacidades de sistema de transferencia automatizada (ATS). Esto significa que puede realizar transferencias bancarias completas de forma automática, sin que el usuario toque la pantalla.

Este malware combina ataques de superposición (pantallas falsas que se ponen encima de apps legítimas), automatización de movimientos en la interfaz, retransmisión NFC y abuso de accesibilidad para controlar el teléfono. Está preparado para robar cuentas de aplicaciones de criptomonedas como MetaMask, Trust Wallet, Blockchain.com o Phantom, y puede automatizar envíos de dinero a través de aplicaciones bancarias como George Česko, muy usada en la República Checa.

RatOn se distribuye mediante páginas falsas que imitan Google Play Store, donde se ofrece una supuesta versión “TikTok 18+” o similar. Una vez que el usuario instala la app “dropper”, esta solicita permisos para instalar aplicaciones desde fuentes desconocidas y luego descarga una segunda y tercera etapa de malware, incluyendo una variante de NFSkate (también conocida como NGate), basada en la herramienta legítima NFCGate.

El troyano pide permisos de administrador del dispositivo, accesibilidad, lectura y escritura de contactos y control de ajustes del sistema. Con ello puede concederse nuevos permisos, descargar componentes adicionales, grabar la pantalla, iniciar y controlar aplicaciones de banca y criptomonedas, e incluso mostrar falsas notas de rescate que bloquean el dispositivo y acusan al usuario de delitos graves para forzarle a abrir una app de criptomonedas y hacer un pago.

Entre los comandos que procesa RatOn se encuentran órdenes para enviar notificaciones push falsas (send_push), cambiar el tiempo de bloqueo de pantalla (screen_lock), abrir WhatsApp o Facebook, modificar la lista de apps financieras objetivo (app_inject), enviar SMS mediante accesibilidad (send_sms), descargar y ejecutar NFSkate (nfs), iniciar transferencias ATS (transferir), bloquear el dispositivo (bloquear), crear contactos (add_contact) y comenzar o detener sesiones de grabación de pantalla (grabar, pantalla).

Por su parte, BRATA es un troyano bancario para Android descubierto en 2019 que, con el tiempo, ha ido incorporando capacidades muy agresivas. Se distribuye mediante un descargador (dropper) que ayuda a esquivar los antivirus, y ha demostrado un interés continuado en bancos e instituciones financieras de diferentes países.

Las variantes más recientes de BRATA incluyen un “interruptor de apagado” que obliga al dispositivo a realizar un restablecimiento de fábrica en dos situaciones: tras completar con éxito un fraude bancario y cuando detecta que se está ejecutando en un entorno de análisis o emulador. De este modo, el usuario pierde tiempo intentando entender qué ha pasado, mientras los atacantes consolidan el robo.

Además, BRATA solicita permisos de geolocalización por GPS, aparentemente de cara a futuras funciones como apuntar a víctimas de ciertos países o experimentar con métodos de cobro específicos (por ejemplo, retiradas de efectivo sin tarjeta). En paralelo, ha perfeccionado sus técnicas de ofuscación y descarga dinámica de su núcleo malicioso para evadir la detección por parte de soluciones de seguridad.

Otro nombre conocido es Joker, un malware que actúa como spyware y suscriptor silencioso a servicios premium. Joker se centra en recopilar SMS, listas de contactos e información del dispositivo, y a la vez registra al móvil en servicios de pago SMS sin consentimiento del propietario, generando cargos inesperados en la factura.

Joker ha llegado a ser uno de los malware móviles más comunes, especialmente porque se distribuye a través de apps maliciosas alojadas en Google Play: aplicaciones de mensajería, salud, traducción y muchas otras categorías. Aunque Google elimina estas apps una vez detectadas, a menudo ya han logrado miles de descargas, y los autores vuelven a publicar nuevas aplicaciones con el mismo código malicioso.

Además de estas familias concretas, diversas investigaciones han identificado troyanos bancarios que se hacen pasar por servicios legítimos (herramientas de utilidad, apps de productividad, supuestas apps oficiales de bancos, etc.). Estos troyanos, una vez ejecutados, comprueban si el dispositivo es real, solicitan permisos de accesibilidad y administración y, a partir de ahí, toman el control total para leer pantalla, pulsar botones, rellenar formularios, generar pantallas de inicio de sesión falsas sobre apps bancarias o de criptomonedas y enviar toda la información a un servidor remoto.

Los atacantes pueden entonces actualizar el malware, borrar sus rastros, silenciar notificaciones y sonidos para que el usuario no vea alertas de seguridad de su banco o de Google, y extender la infección a nuevas regiones, empezando por zonas como el sudeste asiático pero con potencial para expandirse globalmente. Para ejemplos de otras amenazas que actúan de forma similar, hay análisis de familias concretas como Auto Color.

Otros tipos de malware en Android y cómo llegan a tu móvil

Aunque los troyanos bancarios acaparan muchos titulares, Android también sufre otros tipos de malware que a menudo llegan camuflados como servicios o utilidades. Entre los más comunes se encuentran el adware, el spyware, el ransomware y la criptominería maliciosa.

El adware es software no deseado que satura el teléfono con anuncios, generalmente aprovechando tácticas engañosas para instalarse junto a otras apps o fingiendo que es una herramienta legítima. Además de resultar molesto, puede desviar tráfico a webs peligrosas y consumir datos y batería.

El spyware se centra en espiar discretamente la actividad del usuario: qué apps usa, con quién habla, qué escribe, qué sitios visita. Toda esa información se envía a los atacantes, que la pueden utilizar para robo de identidad, extorsión o venta en mercados clandestinos.

El ransomware en Android suele bloquear el acceso al dispositivo o cifrar archivos, para luego exigir un pago en criptomonedas a cambio de devolver el control al usuario. Dado que los móviles albergan fotos personales, conversaciones privadas y, a menudo, datos de trabajo, este tipo de ataque puede resultar especialmente traumático y, si no se tienen copias de seguridad, es difícil recuperar la información.

La criptominería maliciosa (cryptojacking) consiste en instalar software que utiliza el procesador del móvil para minar criptomonedas para los atacantes. Lo peor es que a menudo pasa desapercibida: solo se notan síntomas como batería que vuela, sobrecalentamiento y rendimiento bajo. Mientras tanto, el atacante va generando ingresos a costa de los recursos del dispositivo.

En la mayoría de los casos, las infecciones llegan a través del navegador o de aplicaciones descargadas. En el navegador, los atacantes pueden aprovechar vulnerabilidades en tecnologías web o mostrar anuncios maliciosos que ejecutan código sin que el usuario haga nada más que visitar una página comprometida. En apps, la táctica clásica es el troyano disfrazado de app legítima, que puede funcionar como se anuncia pero, “por detrás”, roba datos, instala otras apps o abre la puerta a más malware. Si te aparece un mensaje de que tienes un virus al entrar en una web, es una señal típica de estas campañas (cómo actuar ante ese aviso).

También existen otras vías: teléfonos económicos con firmware ya infectado, correos con adjuntos maliciosos, campañas de phishing que empujan a descargar falsos “parches” o “actualizaciones”, y estafas de soporte técnico que piden al usuario que instale herramientas “de ayuda” que en realidad son troyanos.

Señales de que tu Android puede estar infectado por un troyano o malware

Lo más peligroso de muchos de estos troyanos es que están diseñados para pasar desapercibidos el máximo tiempo posible. Aun así, hay varias señales que pueden indicar que algo raro está ocurriendo en tu móvil y que conviene investigar.

Una de las pistas más típicas es la aparición constante de ventanas emergentes y anuncios, incluso cuando no estás navegando o usas apps que nunca habían mostrado publicidad. Si al tocar esos anuncios terminas en webs extrañas o de baja reputación, es bastante probable que haya adware o algún otro componente malicioso instalado.

Otra señal es un aumento repentino e inexplicable del consumo de datos móviles. Muchos troyanos necesitan transmitir información a sus servidores (datos de sesión, registros de teclado, capturas de pantalla, etc.) o mostrar anuncios, lo que dispara el tráfico de salida. Si tu factura de datos se dispara sin motivo, algo puede estar funcionando en segundo plano sin tu permiso.

También debes sospechar si empiezas a ver cargos raros en la factura del operador, especialmente relacionados con SMS premium o llamadas a números de tarificación especial. Eso suele indicar que un malware ha conseguido enviar mensajes o realizar llamadas silenciosamente a servicios de pago para generar beneficios a los atacantes.

El desgaste acelerado de la batería y el sobrecalentamiento son otros síntomas clásicos. El malware suele hacer un uso intensivo de CPU, red y, a veces, GPU (en el caso de criptominería o grabación de pantalla), por lo que el móvil se calienta y la autonomía se reduce drásticamente. Si el teléfono se calienta incluso en reposo, conviene investigar.

La presencia de aplicaciones que no recuerdas haber instalado también es un indicador serio. Algunos troyanos descargan automáticamente otras apps o se ocultan tras nombres genéricos de “servicio” o “actualización”. Si ves algo sospechoso en la lista de apps, o iconos sin identificar, mejor revisarlo (por ejemplo, cómo localizar apps o actividad reciente).

Por último, presta atención a comportamientos como que el móvil encienda solo el WiFi o los datos, que contactos tuyos te digan que reciben mensajes extraños desde tu número, o que notes ralentizaciones extremas sin una causa aparente. Todos son signos de que alguna app puede estar controlando el dispositivo a tus espaldas.

Cómo proteger tu Android de troyanos que se hacen pasar por servicios

La buena noticia es que, con unos cuantos buenos hábitos de seguridad y el apoyo de una app de protección fiable, es posible reducir enormemente el riesgo de infectarse con troyanos y otro malware en Android. No hace falta volverse paranoico, pero sí tener cierto sentido crítico y no dar clic a todo lo que se mueve.

En primer lugar, es clave instalar aplicaciones solo desde fuentes de confianza, como Google Play Store o, en su caso, tiendas oficiales del fabricante. Incluso así hay que ir con ojo, porque a veces se cuelan apps maliciosas, pero el riesgo es mucho menor que descargando APKs de webs desconocidas, foros, canales de Telegram o enlaces en SMS y redes sociales.

Antes de instalar una app, conviene revisar sus permisos con calma. Si una calculadora pide acceso a contactos, SMS, llamadas o servicios de accesibilidad, mala señal. Si una app de linterna quiere ponerse como administrador del dispositivo, igual. Siempre hay que preguntarse: “¿realmente necesita este permiso para funcionar?”. Si la respuesta es no, mejor buscar una alternativa.

Otro pilar fundamental es mantener Android y las apps actualizadas. Las actualizaciones corrigen vulnerabilidades que muchos troyanos aprovechan para escalar privilegios o saltarse restricciones. Dejar el sistema desactualizado es como cerrar la puerta pero dejar la ventana abierta para los atacantes.

También es recomendable contar con una app de seguridad o antivirus para Android de un proveedor de confianza. Estas herramientas detectan y eliminan muchas amenazas conocidas, alertan de comportamientos sospechosos, analizan enlaces en el navegador en busca de phishing y permiten hacer análisis bajo demanda cuando sospechas que algo va mal.

Como complemento, unas pautas básicas ayudan a blindar el dispositivo: no abrir adjuntos de correos desconocidos, evitar hacer clic en enlaces raros aunque parezcan venir de amigos, desconfiar de llamadas que piden datos bancarios o contraseñas, y no instalar “actualizaciones” o “optimizadores” que lleguen a través de mensajes inesperados.

Si en algún momento sospechas que tu Android puede estar infectado, lo ideal es instalar una solución antimalware y hacer un análisis completo, además de reiniciar en modo seguro para poder desinstalar apps sospechosas sin que se activen. En casos graves (por ejemplo, ransomware o troyanos muy persistentes) quizá toque restablecer el dispositivo de fábrica, por lo que tener copias de seguridad periódicas de fotos, chats y documentos es fundamental.

El panorama de los troyanos para Android que se hacen pasar por servicios es cada vez más complejo y sofisticado, con familias como Android.Phantom, Triada, RatOn, BRATA o Joker aprovechando desde juegos modificados y versiones pirata de apps famosas hasta firmware adulterado y falsos servicios bancarios; entender cómo funcionan, qué síntomas provocan y qué hábitos de seguridad aplicar en el día a día es la mejor forma de seguir usando tu móvil con tranquilidad sin convertirte en la próxima víctima.