Especialistas de F6 (departamento Digital Risk Protection) han identificado una campaña masiva de troyanos bancarios para Android dirigida a usuarios en Rusia. Los atacantes se hacen pasar por versiones «extendidas», «premium» y «18+» de aplicaciones muy conocidas como YouTube y TikTok, prometiendo acceso a contenido bloqueado y reproducción de vídeos sin publicidad a cambio de instalar un archivo APK fraudulento.
Distribución del troyano bancario mediante APK maliciosos
De acuerdo con F6, desde comienzos de octubre de 2025 se han detectado más de 30 dominios implicados en la distribución de esta familia de malware. Los primeros sitios aparecieron en verano de 2025, pero el volumen de registros creció de forma notable en otoño, coincidiendo con el inicio del curso académico y el aumento del consumo de contenido online.
Los ciberdelincuentes han construido una red de sitios de phishing que imitan a los portales de YouTube y TikTok, servicios cuyo acceso oficial se encuentra limitado o degradado en Rusia. Estas páginas están indexadas por motores de búsqueda rusos, lo que permite que aparezcan entre los resultados legítimos para búsquedas como «YouTube sin anuncios», «YouTube 4K APK» o «TikTok 18+ descargar».
Los dominios se registran en múltiples zonas (.ru, .top, .pro, .fun, .life, .live, .icu, .com, .cc) y combinan nombres de marca reconocibles con términos «de marketing» como ultra, mega, boost, plus, max. Esta estrategia genera la impresión de tratarse de una versión oficial «Pro» o «Premium», reduciendo la sospecha del usuario.
Aplicaciones suplantadas: YouTube 18+, TikTok y apps para conductores
Falsos YouTube sin anuncios y TikTok 18+
El principal gancho son supuestas versiones avanzadas de clientes de vídeo: TikTok 18+, YouTube Max, YouTube Boost, YouTube Mega, YouTube Ultra, YouTube Plus, YouTube Ultima Edition, YouTube Pro, YouTube Advanced y «Ютуб-Плюс». Los sitios prometen funciones muy demandadas por los usuarios:
— visualización sin publicidad;
— soporte 4K y descarga de vídeos;
— reproducción en segundo plano;
— funcionamiento estable con mala conexión;
— acceso a contenido bloqueado o «solo para adultos».
Para obtener estas supuestas prestaciones se invita al usuario a descargar un APK desde una web externa, fuera de Google Play. En lugar de un reproductor de vídeo modificado, el archivo instala en el dispositivo un troyano bancario plenamente funcional.
Navegadores, mapas de controles y pago de multas
La campaña también utiliza como señuelo aplicaciones para conductores: navegadores GPS, mapas con la ubicación de controles de tráfico (DPS) y herramientas para consultar y pagar multas. Este tipo de software es buscado con frecuencia fuera de tiendas oficiales, lo que aumenta la probabilidad de que el usuario desactive la protección de «Instalar desde orígenes desconocidos» en Android y abra la puerta al malware.
Capacidades del troyano bancario para Android y datos en riesgo
El código malicioso analizado por F6 reúne el conjunto típico de funciones de los troyanos bancarios modernos para Android. Tras la instalación, solicita permisos ampliados y consigue:
— leer y enviar SMS, incluidos códigos de un solo uso (OTP) de los bancos;
— iniciar y gestionar llamadas telefónicas;
— obtener la lista de contactos y de aplicaciones instaladas;
— recopilar información sobre la red y el dispositivo;
— ejecutarse automáticamente al encender el smartphone;
— mostrar elementos de interfaz superpuestos sobre otras apps (ataques de tipo overlay).
El mecanismo de overlay resulta especialmente crítico: al superponer una ventana falsa sobre la app bancaria legítima, el troyano puede presentar formularios de inicio de sesión y pantallas de pago aparentemente auténticos, capturando de forma silenciosa credenciales, PIN, datos de tarjetas y códigos SMS. Combinados con el acceso a SMS y llamadas, estos privilegios otorgan al atacante un control casi total sobre la banca móvil de la víctima.
Por qué esta campaña de malware resulta tan efectiva
Las restricciones al acceso a YouTube y la degradación del contenido de TikTok en Rusia han favorecido la proliferación de ofertas para «saltar los bloqueos». Muchos usuarios buscan versiones no oficiales para evitar la publicidad y recuperar funcionalidades perdidas, priorizando la comodidad sobre la seguridad.
Los actores maliciosos explotan varios factores simultáneamente: escasez de contenido oficial, disposición a instalar APK de fuentes desconocidas, confianza automática en marcas populares (YouTube, TikTok, navegadores, servicios de multas) y un bajo nivel de conciencia sobre los troyanos bancarios. Informes públicos de grandes fabricantes de seguridad —como Kaspersky, ESET o Trend Micro— muestran patrones similares en otras campañas, en las que el malware se oculta detrás de apps de VPN, clientes de mensajería alternativos o «optimizadores» del sistema.
Según F6, los dominios identificados en esta operación han sido bloqueados en el momento de la publicación. No obstante, el coste de registrar nuevos dominios es mínimo y el kit de phishing puede reutilizarse casi sin cambios, por lo que es razonable esperar reapariciones de la misma amenaza con distintas marcas y nombres comerciales.
Recomendaciones para proteger Android de troyanos bancarios disfrazados
La medida preventiva más eficaz es instalar aplicaciones únicamente desde tiendas oficiales (Google Play o catálogos corporativos de fabricantes y operadores) y mantener desactivada la opción de instalar software desde orígenes desconocidos. Es fundamental desconfiar de cualquier APK que prometa «YouTube sin anuncios», «TikTok 18+» o ventajas financieras inusuales.
Antes de conceder permisos, conviene revisar con atención qué solicita cada app: el acceso a SMS, llamadas o servicios de accesibilidad en aplicaciones de vídeo o navegación es una señal clara de alarma. El uso de una solución antivirus móvil reputada y actualizada añade una capa adicional de defensa frente a troyanos bancarios conocidos.
Si el smartphone comienza a mostrar ventanas extrañas sobre la app del banco, aparecen SMS desconocidos o se detectan cargos no autorizados, es crucial actuar de inmediato: contactar con la entidad bancaria, bloquear tarjetas si es necesario y someter el dispositivo a un análisis completo. Mantener una actitud crítica ante las «apps milagro» y actualizar de forma continua los conocimientos en ciberseguridad es la mejor inversión para preservar tanto la privacidad como los fondos en la banca online.
