Un troyano avanzado para Android se está colando en teléfonos a través de aplicaciones falsas de VPN e IPTV ofrecidas fuera de la tienda oficial. La campaña, que ya ha afectado a miles de usuarios en Europa, combina ingeniería social y permisos sensibles para lograr un control profundo del dispositivo.
Identificado por investigadores de ciberseguridad como Clopatra, este software malicioso destaca por su desarrollo continuo —con decenas de variantes— y por un claro enfoque financiero. Puede manejar el móvil de la víctima sin levantar sospechas, incluso cuando la pantalla está apagada, y su distribución se apoya en páginas web que prometen servicios atractivos pero fraudulentos.
Cómo se propaga haciéndose pasar por VPN e IPTV
La infección arranca fuera de Google Play, en sitios que publicitan supuestas apps de IPTV o VPN gratuitas. Entre los cebos detectados destaca Modepro IPTV + VPN, un instalador tipo gotero que descarga el troyano real y pone en marcha la cadena de ataque.
Tras ejecutarse, la app trampa solicita permisos de alto impacto, especialmente el permiso de Accesibilidad. Este acceso, diseñado para facilitar la interacción a personas con discapacidad, es explotado por el malware para operar el teléfono sin intervención del usuario.
- Robo de información: lectura del contenido visible y captura de contraseñas.
- Control remoto: simulación de toques y gestión silenciosa de apps, incluidas las bancarias.
- Actividad sigilosa: ejecución en segundo plano aunque la pantalla parezca inactiva.
La propuesta suele presentarse como un acceso premium gratis a canales o navegación cifrada, una promesa tentadora que empuja a instalar paquetes desde fuentes no verificadas. Una vez concedidos los permisos, revertir el daño se complica notablemente.
Capacidades, alcance y técnicas de evasión de Clopatra
Clopatra puede simular gestos, leer la pantalla y extraer credenciales, lo que abre la puerta a transferencias no autorizadas y al vaciado de billeteras de criptomonedas. Todo ello con alta discreción, aprovechando su capacidad para operar con el dispositivo bloqueado.
El troyano no se limita al fraude económico: también es capaz de espiar la actividad del usuario, recopilar datos personales y convertir el móvil en una pieza más de futuras campañas delictivas. Además, incorpora una lista de antivirus para Android que intenta detectar y neutralizar con el fin de sobrevivir más tiempo en el sistema.
Su autoría apunta a un grupo de ciberdelincuentes con capacidades profesionales. El código incluye controles de integridad, detección de emuladores y procesos anti depuración, así como el uso de bibliotecas nativas y cifrado de cadenas que dificultan el análisis. Algunas muestras usan mecanismos de protección de software similares a licencias legítimas para obstaculizar la ingeniería inversa.
Los investigadores han visto más de 40 variantes desde su aparición inicial y señalan miles de dispositivos afectados en Europa. Aunque el foco principal está en esa región, la velocidad de evolución y las vías de distribución elevan el riesgo de expansión global.
Para reducir el riesgo, conviene reforzar hábitos básicos de seguridad. Instala apps solo desde tiendas verificadas, desconfía de “chollos” de IPTV o VPN gratis y revisa con lupa permisos como Accesibilidad antes de concederlos.
- Descarga segura: limita las instalaciones a Play Store o mercados oficiales.
- Permisos críticos: si una app pide Accesibilidad sin una razón clara, mejor rechazar.
- Sistema al día: actualizaciones, Play Protect y soluciones de seguridad activas.
- Sentido común: evita enlaces y páginas de descarga de dudosa procedencia.
Clopatra concentra varias tendencias preocupantes: disfraz convincente, abuso de funciones legítimas y barreras técnicas para evitar su estudio. Mantener la guardia alta ante apps de VPN o IPTV fuera de canales oficiales y vigilar los permisos que otorgamos marca la diferencia entre un susto y un problema serio.