Android volvió a ser el blanco principal del malware en 2025, impulsado por dispositivos desactualizados y apps inseguras.
El 2025 confirmó una tendencia que los expertos en ciberseguridad vienen observando desde hace varios años: Android continúa siendo el sistema operativo móvil más atacado por el malware en América Latina. De acuerdo con el más reciente ESET Threat Report, la región concentra una parte significativa de las detecciones globales, con países como México y Brasil a la cabeza, mientras Colombia mantiene un nivel de riesgo constante debido a la alta adopción del sistema operativo de Google.
Según ESET, esta situación no responde a una única causa, sino a la combinación de varios factores estructurales del ecosistema Android en la región. Por un lado, el teléfono móvil sigue siendo el dispositivo principal para millones de usuarios. Por otro, conviven equipos de última generación con modelos antiguos que ya no reciben actualizaciones de seguridad, creando un terreno fértil para que amenazas conocidas —y no tan nuevas— sigan activas.
Los malware que más atacaron a teléfonos Android en 2025
Uno de los hallazgos más llamativos del informe es la persistencia de vulnerabilidades antiguas. El Trojan.Android/Exploit.CVE-2012-6636 se mantuvo como una de las familias más detectadas en 2025. Este exploit aprovecha una falla en aplicaciones que utilizan componentes heredados de WebView, compilados con versiones previas a Android 4.2 y configuraciones inseguras.
Mira también: Trabajo Digital y Gen AI: la urgencia de reinventar cómo trabajamos
Lo preocupante es que incluso dispositivos modernos pueden verse afectados si las aplicaciones instaladas no fueron actualizadas correctamente. En muchos casos, estas apps circulan fuera de las tiendas oficiales en forma de APK modificadas o permanecen activas en aplicaciones abandonadas por sus desarrolladores. La disponibilidad pública de exploits y su inclusión en frameworks como Metasploit facilitan que actores maliciosos sigan utilizándolos más de una década después de su descubrimiento.
Android y el regreso constante de Lotoor y Pandora
Otra familia que volvió a posicionarse entre las más detectadas es Trojan.Android/Exploit.Lotoor, un conjunto de exploits diseñado para obtener privilegios de administrador en dispositivos Android. Aunque sus orígenes se remontan a fallos descubiertos entre 2010 y 2013, sus módulos siguen reapareciendo integrados en herramientas maliciosas modernas. El objetivo es claro: desinstalar soluciones de seguridad, modificar el sistema e instalar cargas adicionales sin el consentimiento del usuario.
Por su parte, Trojan.Android/Pandora refleja una evolución más reciente del malware móvil. Vinculado a una variante de la botnet Mirai adaptada a Android, Pandora fue detectado principalmente en aplicaciones de streaming no oficiales, especialmente en dispositivos Android TV Box y sticks. En algunos casos, incluso se identificó firmware infectado de fábrica, lo que amplificó el alcance de la amenaza. Una vez activo, el malware convierte el dispositivo en parte de una botnet capaz de ejecutar ataques distribuidos de denegación de servicio.
