Nuevo Malware Klopatra en Android usa VNC para Controlar Dispositivos
Alexander Chapellin 10/03/2025 Ciberseguridad, Malware, Ciberataque, Del Mito al Control
3 Minutos

Un nuevo troyano bancario llamado Klopatra está dando de qué hablar en el mundo Android. Se hace pasar por apps aparentemente inofensivas como servicios de IPTV o VPN, pero en realidad, ya ha logrado infectar más de 3.000 dispositivos en toda Europa.

Klopatra no es cualquier malware. Es un troyano de acceso remoto (RAT) con capacidades bastante avanzadas: puede ver lo que haces en la pantalla en tiempo real, registrar todo lo que escribes, simular gestos y hasta ejecutar un modo oculto de control remoto usando tecnología VNC, lo que permite a los atacantes manejar el dispositivo como si lo tuvieran en sus manos.

Según investigadores de Cleafy, este malware parece ser una creación totalmente nueva, sin vínculos con otras familias conocidas de malware para Android. Todo apunta a que estaría desarrollado por un grupo de ciberdelincuentes de habla turca, lo que lo convierte en una amenaza emergente que aún está siendo investigada.

Este troyano puede mostrar pantallas falsas sobre tus apps bancarias (lo que se conoce como ataques de superposición) para capturar tus credenciales sin que te des cuenta. Además, es capaz de espiar lo que copias en el portapapeles, registrar cada tecla que pulsas y, lo más alarmante, vaciar tus cuentas bancarias aprovechando el control remoto a través de VNC.

Pero no se queda ahí. Klopatra también apunta a las apps de billeteras de criptomonedas, recopilando toda la información posible para robar activos digitales.

 

Una amenaza sigilosa en Android: Cómo Klopatra se infiltra en tu dispositivo sin que lo notes

 

Klopatra no llega a los dispositivos por accidente. Se infiltra a través de una app maliciosa llamada "Modpro IP TV + VPN", que actúa como cuentagotas (dropper) para instalar el malware real. Esta aplicación no se encuentra en Google Play, sino que se distribuye por fuera de canales oficiales, lo que ya debería encender las alarmas.

 

app-1

El proceso de instalación de Klopatra (Fuente: Cleafy Labs)

 

Klopatra no es un malware cualquiera: está diseñado para ser difícil de analizar y casi imposible de rastrear. Utiliza Virbox, una herramienta comercial de protección de código que complica seriamente cualquier intento de ingeniería inversa.

Además, recurre a bibliotecas nativas en lugar de usar mucho código Java o Kotlin, lo que reduce su huella y lo hace más difícil de detectar. En sus versiones más recientes, incluso implementa cifrado de cadenas con herramientas como NP Manager para mantener oculta su lógica interna.

Pero eso no es todo. Este malware viene cargado con técnicas avanzadas para evitar ser analizado: incluye mecanismos anti-depuración, chequeos de integridad mientras se ejecuta y detección de entornos virtuales o emuladores, asegurándose de que no está siendo observado por analistas de seguridad.

Una vez instalado, Klopatra abusa del servicio de accesibilidad de Android para otorgarse permisos especiales sin que el usuario lo note. Gracias a esto, puede capturar todo lo que escribes, simular toques y gestos como si tú lo estuvieras usando, y monitorear la pantalla en tiempo real para robar contraseñas, datos personales o cualquier otra información sensible que aparezca.

 

App maliciosa

Solicitud para dar permiso de accesibilidad

 

Una de las funciones más peligrosas de Klopatra es su modo VNC con pantalla en negro, que permite a los atacantes tomar el control total del dispositivo mientras la víctima cree que está bloqueado o inactivo. A simple vista, el teléfono parece estar apagado o en reposo, pero en realidad está siendo manipulado a distancia.

Este modo les da a los ciberdelincuentes todo lo que necesitan para realizar operaciones bancarias manualmente: pueden simular toques en lugares específicos de la pantalla, deslizar hacia arriba o hacia abajo, hacer pulsaciones prolongadas y mucho más, como si estuvieran usando el dispositivo con sus propios dedos.

Para no levantar sospechas, el malware incluso verifica si el teléfono está cargando o si la pantalla está apagada, y espera el momento ideal para activar esta función sin que el usuario note nada extraño.

 

Podría interesarte leer: Los 10 Ataques Más Peligrosos Contra Servidores MCP y Cómo Defenderte

 

¿Quién está detrás de Klopatra? Todo apunta a un grupo turco

 

Aunque los creadores de Klopatra han tratado de mantenerse en las sombras, algunos descuidos técnicos han revelado pistas sobre su origen. Analizando fragmentos de texto en el código y ciertas referencias a monetización y desarrollo, los expertos creen que este malware está siendo operado por un grupo de ciberdelincuentes de habla turca.

Durante la investigación, se identificaron varios servidores de comando y control (C2) conectados con al menos dos campañas activas, que ya habrían afectado a más de 3.000 dispositivos únicos.

A pesar de que los atacantes intentaron ocultar sus huellas utilizando Cloudflare para proteger la infraestructura, una mala configuración expuso las direcciones IP reales de los servidores, lo que permitió rastrear su ubicación y vincularlos a un único proveedor de hosting.

Desde su aparición en marzo de 2025, Klopatra ha mostrado una actividad constante y evolución acelerada: ya se han detectado más de 40 versiones distintas del troyano, lo que indica que el proyecto está en desarrollo activo y sigue mejorando sus capacidades.

 

¿Cómo proteger tu dispositivo Android del troyano Klopatra?

 

Aunque Klopatra es una amenaza avanzada, proteger tu dispositivo Android no es tan complicado si sigues algunas buenas prácticas. En TecnetOne, te recomendamos aplicar las siguientes medidas de seguridad para evitar infecciones como esta:

 

  1. Evita descargar archivos APK desde sitios web no oficiales o enlaces que recibas por mensaje o redes sociales.

  2. Desconfía de las apps que soliciten acceso al Servicio de accesibilidad, especialmente si no es indispensable para su funcionamiento. Este permiso es clave para que el malware tome el control del dispositivo.

  3. Activa y mantén Google Play Protect en funcionamiento, ya que puede ayudarte a detectar apps maliciosas antes de que se instalen.

  4. Mantén tu dispositivo actualizado, con los últimos parches de seguridad del sistema y las apps que usas con frecuencia.

  5. Si algo te parece sospechoso (como un consumo inusual de batería, movimientos extraños en la pantalla o permisos que no recuerdas haber aceptado), revisa los ajustes de accesibilidad y administración de dispositivos cuanto antes.

 

La clave está en la prevención. Cuanto más informado estés, más difícil será que los atacantes encuentren una puerta de entrada a tu teléfono.

Tag:

Ciberseguridad Malware Ciberataque Del Mito al Control

El Coste Oculto del Downtime y Cómo Evitarlo

Artículo Anterior
  • No hay sugerencias porque el campo de búsqueda está vacío.

Categorías

Artículos más leídos

Gustavo Sánchez 05/23/2023 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje
Descubriendo los canales en Telegram de la Dark Web
Alexander Chapellin 02/26/2025 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje, Malware, Ciberataque
10 Principales Grupos y Canales de Telegram en la Dark Web
Levi Yoris 03/26/2025 Ciberseguridad, Riesgos informaticos, Malware
Principales Motores de Búsqueda de la Dark Web en 2025
Jonathan Montoya 05/22/2025 Ciberseguridad, Ciberpatrullaje, Malware, Ciberataque
Los 10 Mejores Foros de la Deep Web y la Dark Web

Artículos Relacionados

Ciberseguridad, DRP Backups, Del Mito al Control
Zoilijee Quero 10/03/2025

El Coste Oculto del Downtime y Cómo Evitarlo

Si diriges un negocio, sabes que hay dos palabras que te quitan el sueño: parada e imprevistos. El

Leer más
Ciberseguridad, Bases de Datos, Del Mito al Control
Adan Cuevas 10/03/2025

Red Hat Sufre Filtración: Crimson Collective Roba Datos de GitHub

La ciberseguridad vuelve a estar en el centro de la conversación tras un ataque que pone en jaque a

Leer más
Ciberseguridad, TecnetProtect, Copias de Seguridad, Del Mito al Control
Muriel de Juan Lara 10/02/2025

Por qué Integrar Respaldo y Seguridad es Clave para tu Equipo de TI

Hoy en día, no es raro que las empresas utilicen una gran variedad de herramientas tecnológicas

Leer más