ESET advierte sobre exploit antiguos y troyanos adaptados que siguen dominando el ecosistema
Android en América Latina, impulsados por dispositivos desactualizados y canales de distribución inseguros.
En América Latina el panorama móvil tiene rasgos muy claros, la región concentra una gran cantidad de detecciones de malware para Android, enfocándose en México y Brasil, según el último ESET Threat Report. A diferencia de las regiones más al norte o Europa, Android es el sistema operativo más prevalente por una diferencia significativa. En línea con lo que observa ESET, compañía líder en detección proactiva de amenazas, a nivel global, el teléfono es el dispositivo principal para la mayoría de las personas, y conviven equipos recientes con modelos que ya no reciben actualizaciones. Para el equipo de investigación, esa mezcla de alta dependencia, fragmentación y versiones desactualizadas crea un entorno donde muchos códigos maliciosos encuentran espacio para proliferar.
“A esto se suma que muchos de los canales de distribución más efectivos siguen plenamente vigentes en
la región. Campañas por SMS o mensajería con enlaces directos, APK modificadas que se comparten
fuera de las tiendas oficiales y aplicaciones que logran entrar en tiendas formales con muy pocas reseñas
o señales de actividad real siguen siendo vectores clave. Ese ecosistema facilita tanto la circulación de
familias conocidas como la aparición constante de variantes nuevas o poco sofisticadas que igual
consiguen alcance”, comenta Martina López, Investigadora de Seguridad informática de ESET
Latinoamérica
ESET analiza las 3 familias de códigos maliciosos más detectadas en la región, para 2025:
Trojan.Android/Exploit.CVE-2012-6636: Una vulnerabilidad antigua que sigue presente en el ecosistema
móvil debido a que muchas aplicaciones de Android continúan usando componentes heredados. El fallo
afecta a apps que emplean WebView con una configuración insegura y que fueron compiladas con
versiones previas a Android 4.2. Incluso si el dispositivo es moderno, la aplicación puede mantener ese
comportamiento vulnerable. En ese contexto, una página web maliciosa cargada dentro del propio
WebView puede interactuar con el código interno de la app de formas que no deberían ser posibles,
abriendo la puerta a ejecución de acciones no autorizadas.
Trojan.Android/Exploit.Lotoor: Es una familia de exploits de escalamiento de privilegios utilizada desde
hace más de una década para obtener acceso root en dispositivos Android. Agrupa un conjunto de técnicas que abusan vulnerabilidades del sistema operativo en distintas versiones tempranas de Android, especialmente fallos descubiertos entre 2010 y 2013. Bajo ese paraguas aparecen exploits que aprovechan errores en controladores, servicios del sistema o manejos de memoria que permitían
ejecutar código con privilegios superiores al de la aplicación.
Sus módulos siguen reapareciendo dentro de herramientas maliciosas que buscan activar funciones avanzadas como desinstalar apps de seguridad, modificar configuraciones internas o instalar payloads
adicionales. No es la primera vez que el equipo de investigación observa a Lotoor en los primeros
lugares.
Trojan.Android/Pandora: Es un código malicioso vinculado a una variante de Mirai adaptada para el ecosistema Android. Se observó por primera vez en 2023 dentro de aplicaciones de streaming populares
en la región, especialmente en dispositivos Android TV Box y sticks que suelen utilizarse para acceder a
contenido no oficial. En esos casos, los atacantes distribuyen APK que funcionan como apps de
streaming legítimas, pero que incluyen un componente malicioso capaz de convertir el dispositivo en
parte de una botnet. En algunos modelos, incluso se detectó firmware modificado que venía infectado
de fábrica, lo que amplificaba el alcance del ataque.
Una vez instalado, Pandora mantiene comunicación con un servidor de comando y control, recibe
instrucciones y ejecuta las mismas capacidades típicas de una botnet basada en Mirai, con el foco
puesto en lanzar ataques distribuidos de denegación de servicio.
“Este panorama de 2025 nos muestra que las amenazas para Android siguen apoyándose en vectores bien conocidos y en la falta de actualización de dispositivos y aplicaciones, lo que mantiene vigentes exploits y familias que llevan años circulando. Aun así, esto no significa que el riesgo quede limitado a “lo
de siempre”. También persisten amenazas menos masivas, pero igual de relevantes, como los troyanos bancarios o las aplicaciones de préstamos fraudulentos, que actúan de forma mucho más focalizada y buscan un impacto directo sobre la economía del usuario. Y, en paralelo, aparecen amenazas
emergentes y técnicas cada vez más innovadoras, como un malware capaz de clonar tarjetas mediante
NFC, que reflejan un ecosistema móvil en constante evolución y con un nivel creciente de sofisticación”,
concluye López de ESET Latinoamérica.
En este contexto, se vuelve vital proteger la información y dispositivos de estas amenazas. ESET comparte algunos consejos para evitar ser víctima:
