Según el informe de Kaspersky, ‘IT threat evolution in Q2 2025. Mobile statistics’, en el primer semestre de 2025 se registró un incremento del 29% en los ataques a usuarios de smartphones Android en comparación con el mismo periodo de 2024, y un 48% más en comparación con el segundo semestre de 2024. Detrás de este aumento no solo crece el volumen de ataques, también evoluciona la variedad de técnicas empleadas por los ciberdelincuentes. Entre las amenazas móviles más destacadas de 2025 figuran SparkCat, SparkKitty y Triada, junto a nuevas variantes camufladas en apps de contenido para adultos utilizadas para lanzar ataques DDoS o en una falsa aplicación VPN que interceptaba códigos de acceso por SMS.

En el segundo trimestre de 2025, los ciberdelincuentes perfeccionaron sus técnicas, incorporando la capacidad de configurar dinámicamente ataques DDoS desde dispositivos infectados. Este troyano permite enviar datos específicos desde el dispositivo comprometido a los atacantes en intervalos de tiempo determinados. Asimismo, Kaspersky detectó una app VPN fraudulenta que secuestraba cuentas al interceptar contraseñas de un solo uso enviadas por SMS, redirigiéndolas a los ciberdelincuentes mediante un bot de Telegram.

Apps maliciosas más populares

Durante el semestre, las amenazas móviles más habituales se agruparon en tres grandes categorías: estafas tipo Fakemoney, troyanos bancarios y malware preinstalado en dispositivos Android.

Las apps fraudulentas Fakemoney buscan atraer a los usuarios con la promesa de ganar dinero real o recompensas mediante tareas, juegos o supuestas inversiones. En realidad, roban datos personales o dinero, o directamente no ofrecen ningún beneficio.

A otro nivel, los troyanos preinstalados como Triada y Dwphon representan una amenaza persistente: se incrustan en el firmware de algunos dispositivos Android durante la fabricación, lo que les permite ejecutar acciones no autorizadas, robar información y resistir incluso tras restaurar el teléfono a valores de fábrica.

Por último, los troyanos bancarios móviles han experimentado un crecimiento explosivo: su número casi se cuadruplicó respecto al primer semestre de 2024 y fue más del doble frente al segundo semestre de ese mismo año. Suplantando aplicaciones legítimas de banca o servicios financieros, su objetivo principal es robar credenciales y datos sensibles de las víctimas.

Europa y España como orígenes de los ciberataques

Aunque Europa no se encuentre entre las regiones con más usuarios afectados por malware móvil, sí desempeña un papel clave como base de operaciones de los ciberdelincuentes. Durante el primer semestre de 2025, el continente albergó una parte significativa de la infraestructura que hace posibles los ciberataques: Países Bajos concentró en el primer semestre de 2025 nada menos que el 33,9% de los servidores de mando y control (C2) de malware a nivel global, lo que lo sitúa como epicentro de la infraestructura criminal en Europa. España también aparece en el TOP 10, con un 1,6% del total.

“La primera mitad de 2025 registró un gran aumento de ataques de malware en Android en comparación con 2024. Existen distintos vectores de ataque, y la instalación de apps de las tiendas no oficiales es uno de ellos. La reciente iniciativa de Google para verificar a los desarrolladores incluso en aplicaciones instaladas mediante archivos APK externos busca frenar la propagación de malware. Sin embargo, esta medida no es definitiva. El malware sigue infiltrándose incluso en Google Play, donde la verificación de desarrolladores lleva años en vigor. También llega a la App Store de Apple. Es probable que los ciberdelincuentes encuentren formas de saltarse la verificación, lo que subraya la necesidad de que los usuarios combinen soluciones de seguridad sólidas, precaución a la hora de instalar aplicaciones y actualizaciones regulares del sistema operativo para adelantarse a las amenazas en evolución”, afirma Anton Kivva, responsable del equipo de analistas de malware en Kaspersky.