Autores
Desarrollo de las amenazas informáticas en el segundo trimestre de 2025. Estadísticas móviles
Desarrollo de las amenazas informáticas en el segundo trimestre de 2025. Estadísticas de computadoras personales
Este apartado del informe trimestral sobre amenazas informáticas dedicado a los dispositivos móviles presenta estadísticas sobre software malicioso, publicitario y potencialmente no deseado para Android, así como una descripción de las amenazas más destacadas que se detectaron en Android e iOS durante el período que aborda el informe. Las estadísticas se basan en el análisis de las notificaciones de activación de los productos de Kaspersky en los dispositivos de los usuarios que dieron su consentimiento para transmitir los datos anonimizados a Kaspersky Security Network.
Cifras del trimestre
La información que Kaspersky Security Network procesó durante el segundo trimestre de 2025 indica que durante este periodo:
- Nuestras soluciones previnieron 10.71 millones de ataques que utilizaron software malicioso, publicitario o no deseado para móviles.
- La amenaza más común para los dispositivos fueron los troyanos, que atacaron a 31.69% de usuarios de los productos móviles de Kaspersky que sufrieron ataques.
- Se identificaron poco menos de 143 000 paquetes de instalación maliciosos, de los cuales:
- 42 220 paquetes eran troyanos bancarios móviles;
- 695 paquetes eran troyanos extorsionadores móviles.
Particularidades del trimestre
El número de ataques con software malicioso, publicitario o no deseado dirigido a dispositivos móviles se redujo a 10.71 millones.
“Número de ataques a usuarios de soluciones móviles de Kaspersky”, del cuarto trimestre de 2023 al segundo trimestre de 2025 (descargar)
Esto se debe ante todo a la disminución de la actividad de RiskTool.AndroidOS.SpyLoan. Estas aplicaciones parecen estar asociadas a entidades microfinancieras, pero contienen un framework peligroso para vigilar al prestatario y recopilar su información, como su lista de contactos. Aunque parezca extraño, tales aplicaciones venían preinstaladas en algunos dispositivos.
En el segundo trimestre se encontró una nueva aplicación maliciosa para Android e iOS que roba imágenes de la galería. Notamos que esta campaña estaba relacionada con el malware SparkCat, que ya se había detectado antes, así que le dimos el nombre de SparkKitty.
Página falsa de la tienda de aplicaciones, desde donde se propaga SparkKitty
Es muy probable que el nuevo malware, al igual que su “hermano mayor”, se dedique a buscar los códigos de recuperación de acceso a las criptocarteras en las capturas de pantalla que guarda el usuario.
Un hallazgo inusual del trimestre fue Trojan-DDoS.AndroidOS.Agent.a. En las aplicaciones para ver contenido pornográfico, los atacantes integraron un SDK para realizar ataques DDoS con configuración dinámica. El troyano permite enviar ciertos datos, con una frecuencia determinada, a las direcciones establecidas por el delincuente. La construcción de una botnet DDoS a partir de dispositivos móviles con aplicaciones pornográficas puede parecer una idea dudosa en términos de eficacia y potencia de los ataques; sin embargo, parece que los ciberdelincuentes han encontrado la forma de implementarla.
También en el segundo trimestre nos encontramos con un cliente VPN falso, Trojan-Spy.AndroidOS.OtpSteal.a, que roba las cuentas del usuario. Con engaños, se dedica a interceptar los códigos OTP de varios mensajeros y redes sociales utilizando el servicio de escucha de notificaciones (Notification Listener) y los envía a un chat de Telegram de los delincuentes a través de un bot.
Estadísticas de amenazas para dispositivos móviles
El número de muestras de software malicioso y potencialmente no deseado para Android disminuyó en comparación con el primer trimestre y fue de 142 762 paquetes de instalación.
Cantidad de paquetes de instalación maliciosos y potencialmente no deseados detectados, del segundo trimestre de 2024 al segundo trimestre de 2025 (descargar)
Los diferentes tipos de paquetes de instalación que se detectaron en el segundo trimestre se distribuyeron de la siguiente manera:
Distribución por tipo de los programas móviles detectados en el primer* y segundo trimestre de 2025 (descargar)
*Los datos del trimestre anterior publicados en este informe pueden tener pequeñas diferencias con los publicados en informes anteriores debido a la revisión retrospectiva de algunos veredictos.
Los troyanos bancarios, cuya proporción aumentó en comparación con el primer trimestre, se mantuvieron en el primer puesto. Entre ellos, sigue predominando la familia Mamont. En cambio, los troyanos espía han caído al quinto lugar. Esto se debe a que se detuvo el aumento del número de archivos APK del troyano espía SMS Trojan-Spy.AndroidOS.Agent.akg. También disminuyó la cantidad de archivos espía Agent.amw, que son casinos falsos.
En segundo y tercer lugar en prevalencia se encuentran las aplicaciones no deseadas del tipo RiskTool y el software publicitario, en ese orden. En cuarto lugar, están los troyanos, de los cuales la mayoría pertenece a la familia Triada.
Porcentaje* de usuarios atacados por un determinado tipo de malware o software no deseado, del total de usuarios de los productos móviles de Kaspersky que sufrieron ataques, del primer* al segundo trimestre de 2024 (descargar)
*La cantidad puede ser mayor al 100% si los mismos usuarios se enfrentaron a varios tipos de ataques.
La distribución de los usuarios atacados es similar a la del trimestre anterior. El aumento de la proporción de puertas traseras está relacionado con el descubrimiento del malware preinstalado Backdoor.Triada.z. En el software publicitario, aumentó la proporción de usuarios atacados por la familia HiddenAd.
TOP 20 de malware para dispositivos móviles
El siguiente ranking de programas maliciosos no incluye programas potencialmente peligrosos o no deseados, como RiskTool y software publicitario.
| Veredicto | %* Primer trimestre de 2025 | %* Segundo trimestre de 2025 | Diferencia en p.p. | Cambio de posición |
| Trojan.AndroidOS.Fakemoney.v | 26.41 | 14.57 | -11.84 | 0 |
| Trojan-Banker.AndroidOS.Mamont.da | 11.21 | 12.42 | +1.20 | +2 |
| Backdoor.AndroidOS.Triada.z | 4.71 | 10.29 | +5.58 | +3 |
| Trojan.AndroidOS.Triada.fe | 3.48 | 7.16 | +3.69 | +4 |
| Trojan-Banker.AndroidOS.Mamont.ev | 0.00 | 6.97 | +6.97 | |
| Trojan.AndroidOS.Triada.gn | 2.68 | 6.54 | +3.86 | +3 |
| Trojan-Banker.AndroidOS.Mamont.db | 16.00 | 5.50 | -10.50 | -4 |
| Trojan-Banker.AndroidOS.Mamont.ek | 1.83 | 5.09 | +3.26 | +7 |
| DangerousObject.Multi.Generic. | 19.30 | 4.21 | -15.09 | -7 |
| Trojan-Banker.AndroidOS.Mamont.eb | 1.59 | 2.58 | +0.99 | +7 |
| Trojan.AndroidOS.Triada.hf | 3.81 | 2.41 | -1.40 | -4 |
| Trojan-Downloader.AndroidOS.Dwphon.a | 2.19 | 2.24 | +0.05 | 0 |
| Trojan-Banker.AndroidOS.Mamont.ef | 2.44 | 2.20 | -0.24 | -2 |
| Trojan-Banker.AndroidOS.Mamont.es | 0.05 | 2.13 | +2.08 | |
| Trojan-Banker.AndroidOS.Mamont.dn | 1.46 | 2.13 | +0.67 | +5 |
| Trojan-Downloader.AndroidOS.Agent.mm | 1.45 | 1.56 | +0.11 | +6 |
| Trojan-Banker.AndroidOS.Agent.rj | 1.86 | 1.45 | -0.42 | -3 |
| Trojan-Banker.AndroidOS.Mamont.ey | 0.00 | 1.42 | +1.42 | |
| Trojan-Banker.AndroidOS.Mamont.bc | 7.61 | 1.39 | -6.23 | -14 |
| Trojan.AndroidOS.Boogr.gsh | 1.41 | 1.36 | -0.06 | +3 |
* Porcentaje de usuarios únicos que se enfrentaron a este malware, del total de usuarios de las soluciones móviles de Kaspersky que sufrieron ataques.
En el segundo trimestre, la actividad de las aplicaciones fraudulentas Fakemoney disminuyó mucho, sin embargo, todavía se mantienen en el primer lugar. Casi todas las demás posiciones están ocupadas por modificaciones del popular troyano bancario Mamont, los troyanos preinstalados Triada y Dwphon, y mensajeros modificados con el troyano Triada incorporado (Triada.fe, Triada.gn, Triada.ga, Triada.gs).
Malware por región
En esta sección describimos el software malicioso que se encuentra más activo en ciertos países.
| Veredicto | País* | %** |
| Trojan-Banker.AndroidOS.Coper.c | Turquía | 98.65 |
| Trojan-Banker.AndroidOS.Coper.a | Turquía | 97.78 |
| Trojan-Dropper.AndroidOS.Rewardsteal.h | India | 95.62 |
| Trojan-Banker.AndroidOS.Rewardsteal.lv | India | 95.48 |
| Trojan-Dropper.AndroidOS.Agent.sm | Turquía | 94.52 |
| Trojan.AndroidOS.Fakeapp.hy | Uzbekistán | 86.51 |
| Trojan.AndroidOS.Piom.bkzj | Uzbekistán | 85.83 |
| Trojan-Dropper.AndroidOS.Pylcasa.c | Brasil | 83.06 |
* País con mayor actividad del programa malicioso.
** Proporción de usuarios únicos que se encontraron con esta modificación del troyano en el país indicado, del total de usuarios de soluciones móviles de Kaspersky atacados por esta misma modificación.
Además de los troyanos bancarios típicos de esta sección, como Coper, que ataca a los usuarios en Turquía, y Rewatrdsteal, que actúa en India, la lista incluye las aplicaciones falsas para buscar trabajo Fakeapp.hy y Piom.bkzj, dirigidas a Uzbekistán. Ambas familias recopilan datos personales del usuario. En cambio, en Brasil, operaban los nuevos droppers Pylcasa. Estas amenazas se infiltran en Google Play, haciéndose pasar por aplicaciones simples (como una calculadora), pero al iniciarse abren una URL enviada por los atacantes, de manera similar a los troyanos de la familia Fakemoney. Estas direcciones URL pueden conducir a sitios de casinos ilegales o páginas de phishing.
Troyanos bancarios para dispositivos móviles
El número de troyanos bancarios detectados en el segundo trimestre de 2025 fue algo menor que en el primero; aún así, superó por mucho las cifras de 2024. En total, las soluciones de Kaspersky detectaron 42 220 paquetes de instalación de este tipo.
Número de paquetes de instalación de troyanos bancarios móviles detectados por Kaspersky, del segundo trimestre de 2024 al segundo trimestre de 2025 (descargar)
La mayoría de los paquetes de instalación de troyanos bancarios móviles siguen siendo diversas modificaciones de Mamont (57.7%). En cuanto a la proporción de usuarios atacados, Mamont también “desplazó” a todos sus competidores y ocupó casi todas las posiciones en la lista de los troyanos bancarios más comunes.
TOP 10 de troyanos bancarios para dispositivos móviles
| Veredicto | %* Primer trimestre de 2025 | %* Segundo trimestre de 2025 | Diferencia en p.p. | Cambio de posición |
| Trojan-Banker.AndroidOS.Mamont.da | 26.68 | 30.28 | +3.59 | +1 |
| Trojan-Banker.AndroidOS.Mamont.ev | 0.00 | 17.00 | +17.00 | |
| Trojan-Banker.AndroidOS.Mamont.db | 38.07 | 13.41 | -24.66 | -2 |
| Trojan-Banker.AndroidOS.Mamont.ek | 4.37 | 12.42 | +8.05 | +2 |
| Trojan-Banker.AndroidOS.Mamont.eb | 3.80 | 6.29 | +2.50 | +2 |
| Trojan-Banker.AndroidOS.Mamont.ef | 5.80 | 5.36 | -0.45 | -2 |
| Trojan-Banker.AndroidOS.Mamont.es | 0.12 | 5.20 | +5.07 | +23 |
| Trojan-Banker.AndroidOS.Mamont.dn | 3.48 | 5.20 | +1.72 | +1 |
| Trojan-Banker.AndroidOS.Agent.rj | 4.43 | 3.53 | -0.90 | -4 |
| Trojan-Banker.AndroidOS.Mamont.ey | 0.00 | 3.47 | +3.47 | 9 |
Conclusión
En el segundo trimestre de 2025, disminuyó el número de ataques que emplearon software malicioso, publicitario y no deseado en comparación con el primer trimestre. Las amenazas más comunes siguieron siendo los troyanos, especialmente la familia Mamont, que se mantiene muy activa. Además, el trimestre destacó por el descubrimiento del segundo troyano espía de 2025 que logró infiltrarse en la App Store, junto con un cliente VPN falso que roba códigos OTP y un bot DDoS escondido en aplicaciones para ver pornografía.
Autores
De los mismos autores
En la misma categoría
Desarrollo de las amenazas informáticas en el segundo trimestre de 2025. Estadísticas móviles