El troyano "Klopatra" roba dinero de los smartphones mientras sus dueños duermen.

El nuevo troyano bancario para Android llamado Klopatra en unas semanas llegó a infectar más de tres mil teléfonos inteligentes, la mayoría de los cuales se encuentran en España e Italia. El malware fue detectado por la empresa italiana Cleafy a finales de agosto de 2025. El análisis mostró que se trata de una herramienta de acceso remoto (RAT), que combina varias técnicas complejas: VNC oculto para controlar el dispositivo, sustituciones dinámicas de pantallas para robar credenciales y mecanismos de automatización de transacciones.

Los investigadores señalaron que Klopatra destaca entre amenazas similares por el uso de tecnologías poco habituales en troyanos móviles. Los autores integraron Virbox —un sistema comercial de protección de código que suele utilizarse en productos corporativos pero que prácticamente no aparece en malware para Android. Además, las funciones clave se trasladaron de Java a bibliotecas nativas. Como resultado, el troyano se volvió extremadamente resistente al análisis: utiliza ofuscación, técnicas anti‑depuración y comprobaciones de integridad en tiempo de ejecución, lo que dificulta mucho el análisis y la detección.

La investigación de la infraestructura de mando y de los artefactos apunta a un grupo criminal de habla turca que explota Klopatra como una botnet privada. Desde marzo de 2025 se han registrado alrededor de cuarenta compilaciones distintas. La distribución se realiza mediante droppers camuflados como aplicaciones IPTV. La elección de servicios piratas no es casual: esos programas son populares entre los usuarios y muchos están dispuestos a instalarlos desde fuentes externas, exponiendo sus dispositivos al riesgo de infección.

Tras la instalación, el dropper solicita permiso para instalar paquetes desde orígenes desconocidos. Una vez conseguido el acceso, extrae el módulo principal del empaquetador JSON integrado y lo instala. A continuación, el troyano obtiene el permiso para usar los Servicios de Accesibilidad de Android —un mecanismo legítimo originalmente pensado para ayudar a personas con discapacidad.

En manos de los atacantes, esta herramienta se convierte en un medio para leer el contenido de la pantalla, interceptar pulsaciones y ejecutar acciones en nombre del usuario. Esto permite iniciar operaciones bancarias de forma automática sin el conocimiento del propietario del teléfono.

Una de las características clave de Klopatra es la capacidad de otorgar a los operadores control total en tiempo real a través de un VNC oculto. Al mismo tiempo, en la pantalla de la víctima puede mostrarse un fondo negro, creando la ilusión de que el dispositivo está apagado o inactivo. En ese momento los atacantes, con un PIN o patrón robado anteriormente, abren aplicaciones bancarias y transfieren fondos mediante series de transacciones instantáneas.

Para enmascarar la actividad, el troyano también reduce el brillo de la pantalla a cero y superpone una capa negra para que la víctima no perciba lo que ocurre. Según las observaciones, los ataques suelen realizarse por la noche, cuando el teléfono está cargando y el propietario duerme.

El malware además utiliza el acceso a los servicios de accesibilidad para concederse permisos adicionales, bloquea los intentos de desinstalación y elimina determinados programas antivirus si están instalados. Asimismo, Klopatra puede descargar desde un servidor C2 ventanas de inicio de sesión falsas para aplicaciones bancarias y de criptomonedas, sustituyendo la interfaz en el momento de abrir la aplicación y recopilando las credenciales sin que se note.

Los especialistas subrayan que, aunque en la arquitectura de Klopatra no hay ideas radicalmente nuevas, la combinación de tecnologías empleadas lo convierte en uno de los troyanos móviles más peligrosos de los últimos tiempos. Combina medios profesionales de protección de código, mecanismos flexibles de camuflaje y un escenario de explotación bien pensado, lo que pone en riesgo a los usuarios de servicios financieros.

Google, al comentar la situación, señaló que las aplicaciones infectadas no se encontraron en Google Play. La compañía afirmó que Play Protect está activado por defecto en todos los dispositivos con los servicios de Google Play y puede bloquear o advertir sobre intentos de instalación de versiones conocidas de malware, incluso si se descargan desde fuentes externas.