El ecosistema Android ha vuelto a demostrar en 2025 que sigue siendo uno de los principales objetivos del cibercrimen móvil. El malware sigue siendo su caballo de Troya.
Todo cuenta. La combinación de una base de usuarios masiva, una fuerte dependencia del teléfono como dispositivo principal y una fragmentación histórica del sistema operativo ha creado un terreno fértil para amenazas que, lejos de desaparecer, se reciclan y encuentran nuevas formas de propagación.
La convivencia entre dispositivos modernos y otros que ya no reciben parches de seguridad, junto con el uso extendido de canales de instalación poco seguros, explica por qué familias de código malicioso antiguas siguen teniendo un impacto notable en pleno 2025.
Trojan.Android/Exploit.CVE-2012-6636
Que una vulnerabilidad identificada hace más de una década siga apareciendo en detecciones actuales puede parecer sorprendente, pero en Android tiene una explicación técnica clara.
CVE-2012-6636 afecta a aplicaciones que utilizan componentes WebView heredados con configuraciones inseguras, una práctica que todavía persiste en apps mal mantenidas o desarrolladas a partir de código antiguo.
Este exploit no depende exclusivamente de la versión del sistema operativo. Incluso en teléfonos relativamente recientes, una aplicación compilada con librerías obsoletas puede exponer al usuario a este fallo.
En ese contexto, una página web maliciosa cargada dentro de la propia aplicación puede interactuar con funciones internas que deberían estar aisladas, permitiendo la ejecución de acciones no autorizadas.
Durante 2025, este exploit se detectó principalmente integrado en aplicaciones distribuidas fuera de las tiendas oficiales o en APK modificadas que prometen funciones adicionales.
Su permanencia se ve reforzada por la disponibilidad pública de herramientas que facilitan su explotación, lo que reduce la barrera técnica para actores maliciosos de bajo nivel. La persistencia de componentes heredados sigue siendo, en este caso, el eslabón más débil.
Trojan.Android/Exploit.Lotoor
Lotoor no es un exploit aislado, sino un conjunto de técnicas diseñadas para escalar privilegios dentro del sistema Android. Su origen se remonta a los primeros años del sistema operativo, cuando las actualizaciones eran irregulares y muchas vulnerabilidades permanecían sin corregir durante largos periodos.
A lo largo del tiempo, estas técnicas se agruparon bajo una misma familia que sigue reapareciendo en campañas actuales.
Lo que hace relevante a Lotoor en 2025 es su capacidad para aprovechar dispositivos desactualizados que aún circulan de forma masiva. Una vez ejecutado, el malware puede romper el modelo de permisos de Android y obtener acceso root, lo que le permite desactivar aplicaciones de seguridad, modificar configuraciones críticas e instalar otros componentes maliciosos sin interacción del usuario.
La historia de Lotoor también explica su longevidad. Muchas de sus técnicas surgieron en comunidades de rooting legítimo, donde se buscaba un mayor control del dispositivo. Con el tiempo, ese conocimiento fue reutilizado por el malware móvil debido a su eficacia.
Hoy, sus módulos aparecen integrados en amenazas más amplias que buscan un control profundo del sistema con un esfuerzo relativamente bajo.
Trojan.Android/Pandora
Pandora representa una evolución distinta dentro del malware para Android. Se trata de una amenaza vinculada a variantes de Mirai adaptadas al entorno móvil, con un foco claro en dispositivos utilizados para consumir contenido multimedia. Desde su aparición, se ha asociado principalmente a aplicaciones de streaming muy populares en América Latina, especialmente en Android TV Box y sticks de bajo coste.
El mecanismo de infección suele basarse en aplicaciones que aparentan ser legítimas y funcionales, pero que incluyen un componente oculto capaz de integrar el dispositivo en una botnet. En algunos casos documentados, incluso se detectaron equipos con firmware modificado que ya venían infectados de fábrica, lo que elimina por completo la decisión del usuario en el proceso de instalación.
Una vez activo, Pandora establece comunicación constante con servidores de comando y control. Desde allí recibe instrucciones para ejecutar ataques de denegación de servicio distribuida, utilizando la conectividad y los recursos del dispositivo sin que el usuario lo perciba.
El atractivo de esta amenaza reside en su vector de entrada, ya que se apoya en hábitos cotidianos como ver series o eventos deportivos, un uso ampliamente extendido en la región.
No hay que bajar la guardia en 2026 con la seguridad del móvil
El análisis de estas familias deja claro que el malware para Android en 2025 no se apoya únicamente en técnicas novedosas. Gran parte de su efectividad proviene de problemas estructurales que se repiten año tras año, como la falta de actualizaciones, la instalación de aplicaciones desde fuentes no verificadas y la confianza excesiva en software que promete ventajas inmediatas.
Al mismo tiempo, el ecosistema móvil continúa evolucionando. Junto a estas amenazas persistentes conviven otras más focalizadas, como troyanos bancarios o aplicaciones fraudulentas de préstamos, que buscan un impacto económico directo sobre el usuario. También comienzan a observarse técnicas más sofisticadas, como el abuso de tecnologías NFC para clonar medios de pago, lo que demuestra que el riesgo no se limita a lo conocido.
Proteger un dispositivo Android hoy implica asumir que la ciberseguridad es una responsabilidad continua. Mantener el sistema y las aplicaciones actualizadas, limitar la instalación a fuentes confiables y prestar atención a los permisos solicitados no elimina el riesgo, pero sí reduce de forma significativa la exposición.
