Es posible ignorar los peligros de instalar aplicaciones no verificadas, pero hacerlo a menudo tiene consecuencias. Investigadores de seguridad descubrieron recientemente que una aplicación de Android que dice ser un servicio combinado sin cargo de IPTV y VPN es, de hecho, una desagradable cuarto de malware.

Desglosar cómo funciona es interesante e ilustra la importancia de estar atento a lo que instala en su dispositivo.

La aplicación “VPN” que no deseas instalar

investigadores de seguridad en honrado han escrito un mensaje extenso sobre una nueva forma de malware, señal “Klopatra”, que no está vinculada a ninguna tribu conocida de malware.

El ataque comienza con una aplicación falsa señal “Mobdro Pro IP TV + VPN”, que pretende dar camino a canales de IPTV y al mismo tiempo proporciona una VPN gratuita para abastecer el anonimato. Muchas transmisiones de IPTV son ilegales porque proporcionan contenido protegido por derechos de autor sin autorización. Por lo tanto, aplicaciones como esta generalmente no se encuentran en las tiendas de aplicaciones oficiales ya que infringen los términos de servicio.

Durante la configuración, la aplicación le solicita un Continuar con la instalación botonadura. Al tocar esto, aparece un mensaje de Android sobre permitir que la aplicación instale otras aplicaciones, lo cual es una señal de alerta inmediata. Podrías autorizar, por ejemplo, a la aplicación Archivos a descargar aplicaciones de Android desde los APK que descargues. Pero una aplicación VPN/streaming no tiene ningún motivo para instalar otras aplicaciones en su dispositivo.

Crédito: honrado

Si otorga este permiso, se le solicitará que instale otra aplicación que contiene el malware. Observe en la captura de pantalla cómo la segunda aplicación tiene un carácter “M” diferente y se candela “Mobdro pro”. Esto intenta engañar a la víctima haciéndole creer que está “terminando” una instalación, cuando en verdad está instalando una segunda aplicación diferente.

Ni siquiera los mejores consejos de seguridad de Android pueden impedirle dar camino directo al malware por su cuenta.

Solicitando más permisos para pasarse

Una vez que te han engañado para que instales la aplicación Klopatra, esta inmediatamente solicita permisos importantes para poder controlar tu dispositivo. La solicitud principal es para Servicios de Accesibilidad, que utilizan aplicaciones de accesibilidad legítimas para analizar el contenido de su pantalla e interactuar con el dispositivo por usted.

Pero los actores malintencionados pueden utilizar esto para infligir toneladas de daño. Tener permisos de accesibilidad permite que una aplicación lea todo el texto en la pantalla, capture todo lo que ingresa en su dispositivo, navegue por las aplicaciones, presione ordenanza, realice deslizamientos e ingrese texto por usted.

Una vez que una aplicación tiene este permiso, lo usa para desactivar la optimización de la fila para que Android no finalice el proceso. Mientras tanto, el malware todavía recopila toda la información de su dispositivo, incluidas las aplicaciones instaladas, para comprenderle mejor.

Una amenaza clara y detallada

Cleafy continúa proporcionando un exploración detallado de cómo este malware va más allá de los típicos ataques de malware a teléfonos inteligentes. Emplea varias herramientas y métodos que dificultan la detección y la ingeniería inversa.

En esencia, el malware proporciona camino remoto a los atacantes, permitiéndoles hacer todo lo que puedan con el dispositivo en la mano. Eso incluye el modo VNC oculto, que permite el control remoto con una pantalla negra. Por lo tanto, el propietario de un dispositivo infectado no sería capaz de detectar que poco anda mal al notar que su dispositivo realiza acciones, aparentemente por sí solo.

Este malware examen activamente amenazas a sí mismo y le impide tomar medidas. Contiene una repertorio de aplicaciones de seguridad populares de Android; Si instala uno de estos, intentará desinstalarlo para evitar la detección. Con control total, la aplicación todavía puede forzar la batalla de “retroceder” si descubres lo que está sucediendo e intentas desinstalar la aplicación maliciosa.

Crédito: honrado

Conociendo más sobre las personas detrás de esto

La investigación reveló que Klopatra morapio de Turquía, ya que todo, desde los comentarios de los operadores sobre víctimas individuales hasta las funciones del código, está en turco.

Todos estos factores apuntan a un ataque grupal sofisticado y coordinado. Este no es un bromista simpatizante que compró malware en el mercado; proviene de un equipo que sabía lo que estaba haciendo y se tomó el tiempo para proteger su activo de ataque.

La campaña de malware se ha centrado en Europa, con ataques dirigidos a bancos españoles e italianos. Sin incautación, el equipo identificó un tercer servidor que ejecutaba campañas en varios otros países, lo que sugiere que el ataque podría expandirse con el tiempo.

Cleafy todavía señala cómo el ataque se desarrolló con el tiempo, desde un prototipo en marzo de 2025 hasta la traducción moderna con todas las protecciones y mecánicas de robo avanzadas.

Atacar sus cuentas financieras

A pesar de ser único, Klopatra todavía utiliza trucos conocidos de otras amenazas de Android. Contiene una repertorio de aplicaciones financieras; cuando abre uno, el malware muestra un cuadro de diálogo mentiroso e idéntico sobre la pantalla de inicio de sesión legítima. No lo notas, pero estás entregando tu contraseña a los atacantes.

Como era de esperar, los atacantes prefieren hacer durante la incertidumbre. Mientras la víctima duerme, es probable que su dispositivo esté en itinerario y cargándose, lo que permite a los delincuentes ceder a él sin amotinar sospechas.

Crédito: Digvijay Kumar/MakeUseOf

A través de su camino remoto profundamente arraigado, el cirujano remoto puede realizar si el dispositivo está en uso, hacer que la pantalla se vuelva negra, usar el PIN robado para desbloquear el dispositivo y luego rasgar una aplicación bancaria y expedir transferencias a sus propias cuentas. Es un ataque sofisticado que combina la colección automatizada de datos y la batalla directa del actor ladino.

El exploración de la aplicación encontró un campo de texto donde los delincuentes dejan notas sobre sus intentos. En un ejemplo, el texto muestra que el cirujano tenía el patrón de desbloqueo de la víctima y que una transferencia por $7,000 había fallado.

Crédito: honrado

Sea inteligente para mantenerse a omitido

Incluso si no vive en las áreas donde se dirigió este ataque, puede formarse poco sobre cómo funciona. Entregado lo difícil que es detectar y eliminar este malware, es imprescindible que no permita que este tipo de aplicaciones se acerquen a su sistema.

La itinerario de defensa más importante es no instalar aplicaciones en las que no confíes, especialmente si provienen de fuera de Play Store. En relación con este problema, Google afirmó que Google Play Protect mantendrá su dispositivo a omitido de comportamientos maliciosos. Y si acertadamente es bueno tenerlo, no puede abarcarlo todo.

Además es trascendente que la carga útil original de este ataque sea una aplicación que promete contenido IPTV sin cargo. Averiguar contenido ilegal en itinerario conlleva una serie de riesgos, incluido el malware, por lo que es aconsejable mantenerse alejado de eso.

Y si alguna vez instala una aplicación que inmediatamente quiere instalar otra aplicación o le otorga permisos profundos como Servicios de Accesibilidad, huya. Las aplicaciones legítimas nunca harán esto.