Un troyano bancario móvil es una app maliciosa que se cuela en tu Android disfrazada de algo inofensivo y espera al momento en que abres la app del banco para robarte credenciales, interceptar los SMS del código y vaciarte la cuenta. Familias como TeaBot, Xenomorph o el veterano Anubis han convertido el banker Android en un negocio industrial. El malware de banca móvil no necesita que seas descuidado: basta con que instales un lector de PDF falso o pulses "Aceptar" en un permiso que no entendías. Aquí te contamos cómo funcionan estos bichos, cómo llegan a tu teléfono y qué hacer para que tu banco siga siendo tuyo.
Qué es exactamente un troyano bancario y por qué Android es su patio de recreo
Un troyano bancario móvil es un tipo de malware que se hace pasar por una aplicación legítima para robar datos financieros. La palabra "troyano" viene del caballo de Troya, y la metáfora aguanta bien: entra pareciendo un regalo, actúa desde dentro.
Android concentra la inmensa mayoría de estas amenazas por una razón simple: permite instalar apps fuera de la tienda oficial (el famoso sideloading). iOS lo pone mucho más difícil, aunque no es inmune. Google Play Protect ayuda, pero los atacantes publican droppers —apps aparentemente limpias que descargan el troyano después— para colarse en la propia Play Store.
El arma principal de un banker Android son los permisos de accesibilidad. Diseñados para ayudar a personas con discapacidad, permiten a una app leer lo que aparece en pantalla y simular toques. En manos de malware, eso significa capturar todo lo que escribes y aprobar transferencias por ti.
Los sospechosos habituales: TeaBot, Xenomorph, Anubis y compañía
El ecosistema del malware de banca móvil tiene sus estrellas. Conocerlas ayuda a entender la técnica.
| Familia | Aparición | Técnica principal |
|---|---|---|
| Anubis | 2017 | Overlays falsos + keylogger + ransomware |
| TeaBot (Anatsa) | 2021 | Droppers en Play Store, control remoto vía accesibilidad |
| Xenomorph | 2022 | Overlays sobre cientos de apps bancarias, robo de MFA |
| Cerberus / Alien | 2019-2020 | Malware como servicio (MaaS), alquiler a terceros |
| SharkBot | 2021 | Transferencias automáticas (ATS) sin intervención |
TeaBot se hizo famoso por colarse en Google Play a través de apps como lectores de QR y gestores de PDF que superaban la revisión inicial. Xenomorph, documentado por la firma ThreatFabric, llegó a apuntar a más de 400 aplicaciones bancarias y de criptomonedas. La mayoría se venden bajo modelo de malware como servicio: cualquier delincuente con dinero alquila la infraestructura sin saber programar.
Cómo llega a tu teléfono: las tres puertas de entrada
Ningún troyano se instala solo. Estas son las vías más comunes por las que un troyano bancario móvil aterriza en tu dispositivo.
- Smishing: un SMS que avisa de un paquete retenido o una multa, con enlace a una app falsa. La técnica se apoya en dominios que imitan marcas reales, lo mismo que explica nuestro artículo sobre typosquatting y dominios falsos.
- Droppers en tiendas oficiales: apps de utilidad (linternas, escáneres, limpiadores) que pasan el filtro y descargan el troyano días después de instalarse.
- Sideloading engañado: webs que te empujan a "actualizar el navegador" o instalar un APK fuera de Play Store para ver un vídeo.
Estos kits de distribución no son artesanales. Se compran empaquetados, como detallamos al hablar de los kits de ataque automatizados que industrializan el fraude.
La técnica del overlay: la pantalla falsa sobre tu app real
Aquí está el truco central del banker Android. Cuando abres tu app bancaria, el troyano detecta el momento y dibuja instantáneamente una pantalla idéntica encima —un overlay—. Tú crees que escribes tus credenciales en el banco; en realidad las escribes en un formulario del atacante.
El siguiente paso es interceptar el segundo factor. El malware pide permiso para leer SMS y captura el código de un solo uso que envía tu banco. Por eso los expertos recomiendan pasar de los SMS a apps de autenticación siempre que se pueda: tienes la guía completa en cómo configurar la verificación en dos pasos en todas tus cuentas.
Las variantes más avanzadas usan ATS (Automated Transfer Systems): no roban solo datos, ejecutan la transferencia directamente desde tu móvil aprovechando la sesión ya abierta. Ni siquiera necesitan tus claves fuera del dispositivo.
Señales de alerta: cómo saber si tu móvil está infectado
El malware de banca móvil intenta pasar desapercibido, pero deja rastro. Vigila estos síntomas:
- Una app recién instalada pide permisos de accesibilidad sin motivo aparente.
- La batería se agota mucho más rápido y el teléfono se calienta en reposo.
- Consumo de datos disparado sin que hayas cambiado tus hábitos.
- Aparecen apps que no recuerdas haber instalado.
- El banco te avisa de inicios de sesión o dispositivos nuevos.
- Pantallas emergentes que piden reintroducir tus datos "por seguridad".
Si sospechas, no abras la app del banco desde ese móvil. Usa otro dispositivo o llama por teléfono a tu entidad.
Cómo protegerte: herramientas y hábitos que funcionan
La defensa contra un troyano bancario combina sentido común y algunas herramientas concretas.
- Instala solo desde Google Play o App Store y desactiva el sideloading en Ajustes de seguridad.
- Revisa los permisos de accesibilidad periódicamente (Ajustes → Accesibilidad → Apps con acceso) y revoca lo que no reconozcas.
- Mantén Play Protect activo y actualiza Android en cuanto salga un parche.
- Analiza archivos sospechosos subiendo el APK a VirusTotal, que lo pasa por decenas de motores antivirus a la vez.
- Comprueba si tus credenciales están filtradas en Have I Been Pwned y cambia contraseñas reutilizadas.
- Usa una app de autenticación (Google Authenticator, Aegis) en vez del código por SMS.
La higiene digital básica es la misma que aplicarías a cualquier amenaza: pocas apps, permisos mínimos, actualizaciones al día. Si gestionas dispositivos para un negocio, conviene formalizar esto en una política escrita, algo que encaja con marcos como el Esquema Nacional de Seguridad (ENS) para empresas y administraciones.
Qué hacer si ya has picado
Actúa por orden y sin pánico:
- Pon el móvil en modo avión para cortar la comunicación del troyano con su servidor.
- Llama a tu banco desde otro teléfono y bloquea tarjetas y accesos.
- Cambia contraseñas desde un dispositivo limpio, empezando por el correo.
- Desinstala la app sospechosa; si no puedes, arranca en modo seguro o haz un restablecimiento de fábrica.
- Denuncia ante la Policía Nacional o la Guardia Civil (Grupo de Delitos Telemáticos) y guarda capturas como prueba.
- Notifica el fraude: en la UE, la directiva de servicios de pago PSD2 obliga a las entidades a reforzar la autenticación y establece cauces de reclamación.
Muchas de estas estafas escalan desde un contacto aparentemente amable hasta el desastre financiero, igual que ocurre en el pig butchering, la estafa de inversión que empieza con un simple mensaje. La lección es la misma: la ingeniería social precede casi siempre al golpe técnico.
Preguntas frecuentes
¿Pueden los iPhone tener troyanos bancarios?
El riesgo es mucho menor porque iOS no permite instalar apps fuera de la App Store con facilidad. Aun así, iPhone es vulnerable a phishing web y a perfiles de configuración maliciosos, así que la precaución sigue siendo necesaria.
¿Un antivirus para Android detecta estos troyanos?
Ayuda, pero no es infalible. Las familias más nuevas usan ofuscación y descarga tardía del código para esquivar la detección. La combinación de Play Protect, permisos revisados y no hacer sideloading protege más que cualquier antivirus por sí solo.
¿Por qué el malware pide permisos de accesibilidad?
Porque esos permisos le dan control casi total: leer la pantalla, capturar lo que escribes y simular toques para aprobar operaciones. Ninguna app de banca, mensajería o utilidad legítima necesita accesibilidad para funcionar, así que desconfía siempre que te la pidan.
¿Es seguro usar la app del banco en una red WiFi pública?
La conexión del banco va cifrada, así que el mayor riesgo no es la red sino el propio dispositivo. Si tu móvil está limpio, el WiFi público añade poco peligro; si tiene un troyano, la red da igual porque el robo ocurre dentro del teléfono.
¿Restablecer de fábrica elimina un troyano bancario?
En la mayoría de casos sí, porque borra la app maliciosa y sus datos. Después no restaures una copia de seguridad reciente que pudiera reinstalar el malware, y cambia todas las contraseñas desde un equipo distinto antes de volver a usar el móvil.
El siguiente paso
Abre ahora mismo Ajustes → Accesibilidad → Apps con acceso en tu Android y revoca el permiso a cualquier aplicación que no reconozcas o que no debería necesitarlo. Es un minuto y cierra la puerta principal por la que entra el malware de banca móvil. Si quieres seguir blindando tu vida digital, tienes más guías prácticas en el blog de MataSpam.


