Autores
Desarrollo de las amenazas informáticas en el tercer trimestre de 2025. Estadísticas móviles
Desarrollo de las amenazas informáticas en el tercer trimestre de 2025. Estadísticas de computadoras personales
Prefacio
En el tercer trimestre de 2025, modificamos la metodología para calcular los indicadores estadísticos que se basan en Kaspersky Security Network (KSN). Estos cambios afectaron todas las secciones del informe excepto la estadística de paquetes de instalación, que permaneció inalterada.
Con el fin de mostrar la dinámica de cambios entre los períodos cubiertos por diferentes informes, recalculamos también los datos de trimestres anteriores. Por esta razón, es posible que difieran en gran medida de las cifras publicadas en ocasiones anteriores. Los informes futuros se elaborarán con esta nueva metodología, lo que permitirá comparar correctamente los datos con los presentados en este artículo.
Kaspersky Security Network (KSN) es una red global que analiza la información sobre amenazas, proporcionada de forma anónima y voluntaria por los usuarios de las soluciones de Kaspersky. Las estadísticas de este informe se basan en los datos de KSN, salvo que se indique lo contrario.
Cifras del trimestre
Según Kaspersky Security Network, en el tercer trimestre de 2025:
- Se neutralizaron 3 470 000 ataques que empleaban software móvil malicioso, publicitario o no deseado.
- Entre el software malicioso para dispositivos móviles, los troyanos fueron la amenaza más común, afectando al 15,78% del total de usuarios atacados que utilizan soluciones de Kaspersky.
- Se detectaron más de 197 000 paquetes de instalación maliciosos, de los cuales:
- 52 723 paquetes eran troyanos bancarios para móviles;
- 1 564 eran troyanos para móviles de tipo ransomware.
Aspectos destacados del trimestre
En el tercer trimestre, el número de ataques a dispositivos móviles con software malicioso, publicitario o no deseado, calculado según las nuevas directrices, alcanzó los 3,47 millones. Esta cifra es ligeramente inferior a los 3,51 millones de ataques registrados en el periodo anterior.
Número de ataques a los usuarios de soluciones móviles de Kaspersky, segundo trimestre de 2024 – tercer trimestre de 2025 (descargar)
A principios del trimestre, un usuario reportó la presencia de anuncios en todos los navegadores de su smartphone. Llevamos a cabo una investigación y descubrimos una nueva versión de la puerta trasera preinstalada BADBOX. Esta puerta trasera se basa en un cargador de múltiples niveles ubicado en la biblioteca maliciosa librescache.so, que el framework del sistema carga en memoria. Gracias a esto, una copia del troyano se inyectaba en cada proceso ejecutado en el dispositivo.
Otro hallazgo interesante fue Trojan-Downloader.AndroidOS.Agent.no, integrado en mods de mensajeros y otras aplicaciones. Este componente descargaba en el dispositivo el malware Trojan-Clicker.AndroidOS.Agent.bl, que a su vez recibía desde un servidor una URL con publicidad, la abría en una ventana WebView invisible y, mediante algoritmos de aprendizaje automático, encontraba y hacía clic en el botón de cierre. De esta forma, los estafadores utilizaban el dispositivo del usuario afectado para inflar de forma artificial las métricas de visualización de publicidad.
Estadísticas de amenazas móviles
En el tercer trimestre, las soluciones de Kaspersky detectaron 197 738 muestras de software malicioso y no deseado para Android, 55 000 más que en el período anterior.
Número de paquetes de instalación maliciosos y potencialmente no deseados detectados, tercer trimestre de 2024 – tercer trimestre de 2025 (descargar)
La distribución por tipo de los paquetes detectados fue la siguiente:
Programas móviles detectados distribuidos por tipo, segundo* y tercer trimestre de 2025 (descargar)
* Los cambios en la metodología de cálculo no afectan esta métrica, aunque los datos del trimestre anterior pueden tener leves diferencias con los publicados con anterioridad debido a la revisión retrospectiva de algunos veredictos.
La proporción de troyanos bancarios tuvo una leve disminución, lo que se debió al aumento de otros tipos de paquetes maliciosos más que a una reducción en su número absoluto. No obstante, los troyanos bancarios (entre los que siguen predominando los paquetes de Mamont) siguen manteniendo el primer lugar. A esto se suma el aumento en el número de troyanos de tipo dropper, que en este caso son en su mayoría droppers para troyanos bancarios.
Proporción de usuarios atacados por un tipo específico de software malicioso o potencialmente no deseado, del total de usuarios de productos móviles de Kaspersky atacados, segundo y tercer trimestres de 2025 (descargar)
* El total puede superar el 100 % si los mismos usuarios enfrentaron múltiples tipos de ataques.
Según el número de usuarios atacados, las aplicaciones publicitarias se encuentran en primer lugar con un amplio margen por encima del segundo. Las más comunes son HiddenAd (56,3 %) y MobiDash (27,4 %). En segundo lugar se encuentran aplicaciones no deseadas clasificadas como RiskTool, cuyo crecimiento se debe en gran parte a la difusión del módulo Revpn, que monetiza el acceso a internet del usuario convirtiendo su dispositivo en un punto de salida de VPN. Como era de esperarse, los troyanos más populares siguen siendo Triada (55,8 %) y Fakemoney (24,6 %). El porcentaje de usuarios que se enfrentaron a ellos no ha experimentado cambios significativos.
TOP 20 de aplicaciones maliciosas móviles
El siguiente ranking de aplicaciones maliciosas no incluye programas potencialmente peligrosos o no deseados, como RiskTool y software publicitario.
| Veredicto | %* Segundo trimestre de 2025 | %* Tercer trimestre de 2025 | Diferencia en p.p. | Cambio de posición |
| Trojan.AndroidOS.Triada.ii | 0,00 | 13,78 | +13,78 | |
| Trojan.AndroidOS.Triada.fe | 12,54 | 10,32 | -2,22 | -1 |
| Trojan.AndroidOS.Triada.gn | 9,49 | 8,56 | -0,93 | -1 |
| Trojan.AndroidOS.Fakemoney.v | 8,88 | 6,30 | -2,59 | -1 |
| Backdoor.AndroidOS.Triada.z | 3,75 | 4,53 | +0,77 | +1 |
| DangerousObject.Multi.Generic. | 4,39 | 4,52 | +0,13 | -1 |
| Trojan-Banker.AndroidOS.Coper.c | 3,20 | 2,86 | -0,35 | +1 |
| Trojan.AndroidOS.Triada.if | 0,00 | 2,82 | +2,82 | |
| Trojan-Dropper.Linux.Agent.gen | 3,07 | 2,64 | -0,43 | +1 |
| Trojan-Dropper.AndroidOS.Hqwar.cq | 0,37 | 2,52 | +2,15 | +60 |
| Trojan.AndroidOS.Triada.hf | 2,26 | 2,41 | +0,14 | +2 |
| Trojan.AndroidOS.Triada.ig | 0,00 | 2,19 | +2,19 | |
| Backdoor.AndroidOS.Triada.ab | 0,00 | 2,00 | +2,00 | |
| Trojan-Banker.AndroidOS.Mamont.da | 5,22 | 1,82 | -3,40 | -10 |
| Trojan-Banker.AndroidOS.Mamont.hi | 0,00 | 1,80 | +1,80 | |
| Trojan.AndroidOS.Triada.ga | 3,01 | 1,71 | -1,29 | -5 |
| Trojan.AndroidOS.Boogr.gsh | 1,60 | 1,68 | +0,08 | 0 |
| Trojan-Downloader.AndroidOS.Agent.nq | 0,00 | 1,63 | +1,63 | |
| Trojan.AndroidOS.Triada.hy | 3,29 | 1,62 | -1,67 | -12 |
| Trojan-Clicker.AndroidOS.Agent.bh | 1,32 | 1,56 | +0,24 | 0 |
* Porcentaje de usuarios únicos que se enfrentaron a esta amenaza, del total de usuarios de soluciones móviles de Kaspersky atacados.
Las primeras posiciones en la lista del malware más difundido las ocupan versiones modificadas de los mensajeros Triada.ii, Triada.fe, Triada.gn y otros. La puerta trasera preinstalada Triada.z ocupó el quinto lugar, por debajo de las aplicaciones Fakemoney, que recopilan datos personales de los usuarios con el pretexto de procesar pagos o servicios financieros, todos ellos falsos. El dropper Agent.gen, ubicado en el noveno lugar, es un archivo ELF ofuscado relacionado con el troyano bancario Coper.c, que está en el puesto que sigue a DangerousObject.Multi.Generic.
Malware regional
En esta sección, describimos programas maliciosos que tienen como objetivo principal de sus ataques a los usuarios de países específicos.
| Veredicto | País* | %** |
| Trojan-Dropper.AndroidOS.Hqwar.bj | Turquía | 97,22 |
| Trojan-Banker.AndroidOS.Coper.c | Turquía | 96,35 |
| Trojan-Dropper.AndroidOS.Agent.sm | Turquía | 95,10 |
| Trojan-Banker.AndroidOS.Coper.a | Turquía | 95,06 |
| Trojan-Dropper.AndroidOS.Agent.uq | India | 92,20 |
| Trojan-Banker.AndroidOS.Rewardsteal.qh | India | 91,56 |
| Trojan-Banker.AndroidOS.Agent.wb | India | 85,89 |
| Trojan-Dropper.AndroidOS.Rewardsteal.ab | India | 84,14 |
| Trojan-Dropper.AndroidOS.Banker.bd | India | 82,84 |
| Backdoor.AndroidOS.Teledoor.a | Irán | 81,40 |
| Trojan-Dropper.AndroidOS.Hqwar.gy | Turquía | 80,37 |
| Trojan-Dropper.AndroidOS.Banker.ac | India | 78,55 |
| Trojan-Ransom.AndroidOS.Rkor.ii | Alemania | 76,90 |
| Trojan-Dropper.AndroidOS.Banker.bg | India | 75,12 |
| Trojan-Banker.AndroidOS.UdangaSteal.b | Indonesia | 75,00 |
| Trojan-Dropper.AndroidOS.Banker.bc | India | 74,73 |
| Backdoor.AndroidOS.Teledoor.c | Irán | 70,33 |
* País donde el programa malicioso está más activo.
** Porcentaje de usuarios únicos que se enfrentaron a esta variante del troyano en el país, del total de usuarios de soluciones móviles de Kaspersky atacados por esta variante.
En Turquía, los troyanos bancarios siguen operando, sobre todo Coper. Los usuarios en India también son objetivo de los atacantes que distribuyen este tipo de software. En particular, el troyano bancario Rewardsteal está activo en el país. En Irán, ha desplegado su actividad el backdoor Teledoor, integrado en un cliente falso para Telegram.
Es notable el brusco aumento de los ataques del troyano extorsionador Rkor en Alemania. En trimestres anteriores, su actividad fue mucho menor, quizá porque los estafadores encontraron un nuevo medio para distribuir aplicaciones maliciosas entre los usuarios.
Troyanos bancarios móviles
En el tercer trimestre de 2025, se detectaron 52 723 paquetes de instalación de troyanos bancarios móviles, 10 000 más que en el segundo trimestre.
Número de paquetes de instalación de troyanos bancarios móviles detectados por Kaspersky, tercer trimestre de 2024 – tercer trimestre de 2025 (descargar)
La participación del troyano Mamont en el total de troyanos bancarios aumentó un poco y alcanzó el 61,85%. Sin embargo, por la proporción de usuarios atacados, Coper ocupó el primer lugar, ya que en la mayoría de los ataques se utilizó la misma variante. Las variantes de Mamont ocuparon varios puestos a partir del segundo, porque en cada ataque se utilizaron diferentes versiones. Aun así, el número total de usuarios atacados por la familia Mamont supera al registrado por Coper.
TOP 10 de troyanos bancarios móviles
| Veredicto | %* Segundo trimestre de 2025 | %* Tercer trimestre de 2025 | Diferencia en p.p. | Cambio de posición |
| Trojan-Banker.AndroidOS.Coper.c | 13,42 | 13,48 | +0,07 | +1 |
| Trojan-Banker.AndroidOS.Mamont.da | 21,86 | 8,57 | -13,28 | -1 |
| Trojan-Banker.AndroidOS.Mamont.hi | 0,00 | 8,48 | +8,48 | |
| Trojan-Banker.AndroidOS.Mamont.gy | 0,00 | 6,90 | +6,90 | |
| Trojan-Banker.AndroidOS.Mamont.hl | 0,00 | 4,97 | +4,97 | |
| Trojan-Banker.AndroidOS.Agent.ws | 0,00 | 4,02 | +4,02 | |
| Trojan-Banker.AndroidOS.Mamont.gg | 0,40 | 3,41 | +3,01 | +35 |
| Trojan-Banker.AndroidOS.Mamont.cb | 3,03 | 3,31 | +0,29 | +5 |
| Trojan-Banker.AndroidOS.Creduz.z | 0,17 | 3,30 | +3,13 | +58 |
| Trojan-Banker.AndroidOS.Mamont.fz | 0,07 | 3,02 | +2,95 | +86 |
* Porcentaje de usuarios únicos que se enfrentaron a esta amenaza, del total de usuarios de soluciones de seguridad móviles de Kaspersky atacados por troyanos bancarios.
Troyanos extorsionadores para móviles
Debido a la reciente intensificación de las actividades de los troyanos extorsionadores para móviles en Alemania, mencionada en la sección “Malware regional”, también decidimos incluir estadísticas sobre este tipo de amenazas. En el tercer trimestre, el número de paquetes de instalación de troyanos extorsionadores aumentó en más del doble, alcanzando un total de 1 564.
| Veredicto | %* Segundo trimestre de 2025 | %* Tercer trimestre de 2025 | Diferencia en p.p. | Cambio de posición |
| Trojan-Ransom.AndroidOS.Rkor.ii | 7,23 | 24,42 | +17,19 | +10 |
| Trojan-Ransom.AndroidOS.Rkor.pac | 0,27 | 16,72 | +16,45 | +68 |
| Trojan-Ransom.AndroidOS.Congur.aa | 30,89 | 16,46 | -14,44 | -1 |
| Trojan-Ransom.AndroidOS.Svpeng.ac | 30,98 | 16,39 | -14,59 | -3 |
| Trojan-Ransom.AndroidOS.Rkor.it | 0,00 | 10,09 | +10,09 | |
| Trojan-Ransom.AndroidOS.Congur.cw | 15,71 | 9,69 | -6,03 | -3 |
| Trojan-Ransom.AndroidOS.Congur.ap | 15,36 | 9,16 | -6,20 | -3 |
| Trojan-Ransom.AndroidOS.Small.cj | 14,91 | 8,49 | -6,42 | -3 |
| Trojan-Ransom.AndroidOS.Svpeng.snt | 13,04 | 8,10 | -4,94 | -2 |
| Trojan-Ransom.AndroidOS.Svpeng.ah | 13,13 | 7,63 | -5,49 | -4 |
* Porcentaje de usuarios únicos que se han enfrentado a este malware, del total de usuarios de las soluciones de seguridad móviles de Kaspersky que han sido atacados por troyanos extorsionadores.
Autores
Desarrollo de las amenazas informáticas en el tercer trimestre de 2025. Estadísticas sobre amenazas móviles