Dropper (Malware)
Programa aparentemente legítimo diseñado para descargar, desempaquetar e instalar malware adicional (payload) en el dispositivo de la víctima, evadiendo los controles de seguridad de las tiendas de aplicaciones.
¿Qué es un dropper de malware?
77 apps maliciosas y 19 millones de descargas. Esos son los números que acumula solo Anatsa/TeaBot en Google Play entre 2023 y 2026, según Zscaler ThreatLabz. La inmensa mayoría de esas apps no contenían malware visible: eran droppers, aplicaciones aparentemente inocuas que superaban los controles de Google Play Protect para, una vez instaladas en el dispositivo de la víctima, descargar e instalar el verdadero troyano bancario. En España, campañas de dropper han distribuido Anatsa, SharkBot y Xenomorph contra bancos como BBVA, CaixaBank, Santander y Sabadell, robando millones de euros a usuarios que creían estar descargando un simple lector de PDF.
Un dropper es un tipo de malware cuya función principal no es causar daño directamente, sino servir como vehículo de entrega para otro malware (el payload). El dropper actúa como intermediario: se presenta como una aplicación legítima (lector PDF, limpiador de archivos, escáner QR, gestor de documentos), pasa los filtros de seguridad de las tiendas de aplicaciones y, una vez instalado, descarga, desempaqueta e instala el malware real en el dispositivo de la víctima.
Diferencia clave entre dropper y payload:
| Concepto | Función | Ejemplo |
|---|---|---|
| Dropper | App fachada que entrega el malware | ”PDF Reader Pro” en Google Play |
| Payload | Malware real que ejecuta el ataque | Anatsa (troyano bancario) |
| C2 (Command and Control) | Servidor que controla la operación | Servidor remoto que envía el payload al dropper |
El dropper es, en esencia, un caballo de Troya digital: su apariencia externa es completamente funcional e inofensiva, pero en su interior alberga la capacidad de descargar y activar el verdadero arma.
Google Play no es 100% seguro
Que una app esté en Google Play Store no garantiza que sea segura. Entre 2023 y 2026, investigadores de ThreatFabric, Zscaler y Cleafy han documentado centenares de droppers que superaron los controles de Google Play Protect, acumulando millones de descargas antes de ser detectados. Google Play Protect detecta aproximadamente el 40-60% del malware conocido, pero los droppers nuevos pasan inadvertidos durante días o semanas hasta que las firmas de detección se actualizan.
Campañas reales de droppers en Google Play
La siguiente tabla recoge las campañas de dropper más relevantes que han afectado a usuarios españoles y europeos entre 2023 y 2026:
| Campaña | Payload entregado | Apps dropper detectadas | Descargas acumuladas | Bancos españoles atacados | Periodo |
|---|---|---|---|---|---|
| Anatsa/TeaBot | Troyano bancario Anatsa | 77+ apps (lectores PDF, gestores archivos, escáneres QR) | 19 millones+ | BBVA, CaixaBank, Santander, Sabadell, ING, Bankinter, Unicaja | 2023-2026 |
| SharkBot | Troyano bancario SharkBot | 16+ apps (antivirus falsos, limpiadores) | 120.000+ | BBVA, CaixaBank, ING, Bankinter | 2022-2024 |
| Xenomorph | Troyano bancario Xenomorph v3 | 10+ apps (gestores archivos, productividad) | 50.000+ | BBVA, Santander, CaixaBank, Sabadell | 2023-2025 |
| Vultur | RAT bancario Vultur | 3+ apps (autenticadores falsos, gestores archivos) | 100.000+ | Múltiples bancos europeos | 2023-2025 |
| Coper/Octo | Troyano bancario Octo | 12+ apps (grabadores pantalla, utilidades) | 50.000+ | BBVA, CaixaBank, Sabadell, Unicaja | 2023-2025 |
Fuentes: Zscaler ThreatLabz (agosto 2025), ThreatFabric (febrero 2024, noviembre 2023), Cleafy (enero 2024), NCC Group (2023).
Estas cifras revelan un patrón claro: los droppers no son incidentes aislados, sino una táctica consolidada del ecosistema de ciberdelincuencia contra la banca móvil.
Tipos de droppers
No todos los droppers funcionan de la misma manera. La clasificación principal distingue entre droppers de una etapa y droppers de múltiples etapas:
Dropper de una sola etapa (single-stage)
El malware completo viene empaquetado dentro del propio dropper. El código malicioso está cifrado o oculto en los assets de la app y se desempaqueta localmente sin necesidad de descargar nada de internet.
| Característica | Detalle |
|---|---|
| Payload | Incluido dentro del APK |
| Conexión a internet | No necesaria para entregar el payload |
| Detección | Más fácil (el payload está dentro del APK, análisis estático puede encontrarlo) |
| Evasión | Menor (el código malicioso deja huellas en el análisis) |
| Ejemplo | Variantes antiguas de SharkBot (2022) |
Dropper de múltiples etapas (staged dropper)
El dropper instalado desde Google Play no contiene el payload. Se conecta a un servidor C2 para descargarlo en una fase posterior, normalmente disfrazado como una “actualización” de la app.
| Característica | Detalle |
|---|---|
| Payload | Descargado desde servidor C2 tras la instalación |
| Conexión a internet | Obligatoria para recibir el payload |
| Detección | Muy difícil (la app en Play Store está limpia) |
| Evasión | Máxima (análisis estático no encuentra malware) |
| Ejemplo | Anatsa/TeaBot (2023-2026), Xenomorph v3 |
Dropper-as-a-Service (DaaS)
Una evolución del modelo Malware-as-a-Service (MaaS) donde grupos criminales alquilan la infraestructura de dropper a otros operadores de malware. El proveedor de DaaS se encarga de:
- Crear y publicar las apps dropper en Google Play
- Mantener las cuentas de desarrollador (con identidades robadas)
- Acumular descargas y reviews positivas mediante granjas de bots
- Entregar el payload del cliente (cualquier troyano bancario) cuando se alcanza un umbral de instalaciones
Según ThreatFabric (2024), el precio de una campaña DaaS oscila entre 2.000 y 20.000 USD por operación, dependiendo del volumen de instalaciones garantizado y la región objetivo.
Técnicas de evasión de Google Play Protect
Los droppers modernos emplean un arsenal de técnicas para superar los controles de seguridad de Google. Estas son las más documentadas:
1. Publicación limpia y actualización maliciosa
La técnica más efectiva y la que utiliza Anatsa de forma sistemática:
- El atacante publica una app completamente funcional y limpia (lector PDF real, escáner QR funcional)
- La app acumula miles de descargas y reviews legítimas de 4-5 estrellas
- Semanas o meses después, el atacante publica una actualización que incluye el código dropper
- Google Play Protect escanea la actualización pero no detecta anomalías porque el payload se descarga desde un C2 externo, no está en el código de la app
2. Carga dinámica de código (Dynamic Code Loading)
El dropper no incluye código malicioso en su APK. En su lugar:
- Descarga un archivo DEX (Dalvik Executable) desde un servidor C2
- Lo carga en memoria mediante
DexClassLoaderoPathClassLoader - El código descargado ejecuta las funciones maliciosas
- El análisis estático del APK no revela nada sospechoso
3. Ofuscación y cifrado del payload
Cuando el payload se incluye dentro del APK (droppers single-stage):
- El payload se cifra con AES-256 y se almacena como un archivo de assets genérico (imagen, base de datos SQLite)
- La clave de descifrado se obtiene del servidor C2 o se compone dinámicamente a partir de valores del dispositivo
- El payload se descifra y carga solo en tiempo de ejecución
4. Verificación de entorno (anti-sandbox)
Los droppers avanzados verifican si están siendo analizados antes de activarse:
| Comprobación | Objetivo |
|---|---|
| Detección de emulador | Busca indicadores de VM (IMEI genérico, sensores ausentes, propiedades build sospechosas) |
| Verificación geográfica | Solo se activa en países objetivo (España, Italia, Alemania, UK) |
| Comprobación de SIM | Verifica que el dispositivo tiene SIM activa de operador real |
| Tiempo de uso | Espera días o semanas antes de activar el dropper (evita sandboxes con timeout corto) |
| Número de apps instaladas | Dispositivos con pocas apps instaladas sugieren emulador de análisis |
| Interacción del usuario | Monitoriza toques en pantalla reales antes de activarse |
5. Abuso de Accessibility Services
Una vez que el usuario concede permisos de Accesibilidad Android, el dropper puede:
- Descargar e instalar el payload sin intervención del usuario
- Conceder automáticamente todos los permisos que el payload necesita
- Desactivar Google Play Protect desde los ajustes del dispositivo
- Ocultar el icono de la app maliciosa
Ciclo de vida de un dropper en Google Play
Creación de la cuenta de desarrollador
El atacante registra una cuenta de desarrollador en Google Play (coste: 25 USD) utilizando una identidad robada o sintética. Algunas operaciones DaaS mantienen decenas de cuentas activas simultáneamente, rotándolas cuando Google las suspende.
Publicación de la app limpia
Se publica una app completamente funcional, sin rastro de código malicioso: un lector PDF que realmente abre PDFs, un escáner QR que funciona o un gestor de archivos útil. El código fuente pasa todos los controles de Google Play Protect y los escaneos automatizados de VirusTotal.
Acumulación de confianza
Durante semanas o meses, la app acumula descargas orgánicas y de granjas de bots. Se generan reviews positivas de 4-5 estrellas. Algunas campañas de Anatsa alcanzaron los puestos Top 3 en categorías como “Productividad” o “Herramientas” en países europeos.
Inyección del código dropper
El atacante publica una actualización que incluye el módulo dropper. Este módulo no contiene el payload directamente, sino la lógica para descargarlo desde un servidor C2. Google Play Protect escanea la actualización pero no detecta actividad maliciosa porque el código dropper solo descarga un archivo, lo cual es un comportamiento legítimo para muchas apps.
Activación selectiva
El dropper no se activa en todos los dispositivos. Comprueba la región geográfica (SIM, idioma del sistema, IP), el modelo de dispositivo y otros parámetros. Si el dispositivo no cumple los criterios del operador, el dropper permanece dormido. Esta selectividad reduce la tasa de detección por análisis automatizado.
Descarga e instalación del payload
En dispositivos objetivo, el dropper descarga el payload (troyano bancario) desde el servidor C2. Si el usuario ha concedido permisos de accesibilidad, el dropper instala el payload silenciosamente. Si no, muestra un mensaje engañoso solicitando “una actualización necesaria” o “un complemento de seguridad”.
Ejecución del payload y eliminación de huellas
El troyano bancario se activa: despliega overlay attacks sobre las apps bancarias, intercepta SMS con códigos OTP y establece comunicación con su propio C2. Algunas variantes eliminan el dropper original o sustituyen su icono para dificultar la identificación.
Caso práctico: dropper Anatsa disfrazado de lector PDF
Contexto del caso (basado en la investigación publicada por Zscaler ThreatLabz y ThreatFabric):
En febrero 2024, ThreatFabric identificó una campaña de Anatsa dirigida específicamente a usuarios de banca móvil en España, Alemania, Reino Unido y República Checa. El dropper se presentaba como una app de productividad: “PDF Reader and File Manager”, publicada en Google Play con más de 100.000 descargas y una valoración de 4.3 estrellas.
Secuencia del ataque documentada:
Fase 1 - App en Google Play (semanas 1-4):
├── App "PDF Reader and File Manager" publicada
├── Funcionalidad real: abre PDFs, gestiona archivos
├── 0 detecciones en VirusTotal
├── 100.000+ descargas, 4.3 estrellas
└── Google Play Protect: LIMPIA
Fase 2 - Actualización con dropper (semana 5):
├── Actualización v2.1 publicada
├── Nuevo módulo: descarga "plugin de rendimiento"
├── Solicita permiso de Accesibilidad ("para leer PDFs en voz alta")
├── Verificación geográfica: solo activa en ES, DE, UK, CZ
└── Google Play Protect: NO DETECTA
Fase 3 - Descarga del payload (minutos después):
├── Dropper contacta C2: hxxps://update-service[.]xyz/api/v2
├── Descarga Anatsa v5.3 (troyano bancario)
├── Instalación silenciosa via Accessibility Services
├── Payload ataca apps bancarias: BBVA, CaixaBank, Santander
└── Overlay attack + intercepción OTP SMSBancos españoles atacados por esta campaña:
- BBVA (app Android)
- CaixaBank (app Android)
- Santander (app Android)
- Sabadell (app Android)
- ING Direct (app Android)
Impacto documentado: ThreatFabric estimó que esta campaña concreta afectó a varios miles de dispositivos europeos antes de que Google retirara la app, semanas después de la primera detección por investigadores externos.
Lección clave para peritos
En el análisis forense de un dropper, es fundamental distinguir entre la app dropper (que puede haber sido eliminada de Google Play) y el payload instalado. El dropper proporciona contexto sobre el vector de infección, mientras que el payload revela las acciones maliciosas ejecutadas. Ambos elementos deben documentarse en el informe pericial.
Análisis forense de un dropper
El análisis forense de un dropper requiere una metodología específica que combine análisis estático, dinámico y de red para documentar la cadena completa de infección.
Fase 1: Identificación y preservación de la evidencia
| Artefacto | Ubicación típica Android | Herramienta |
|---|---|---|
| APK del dropper | /data/app/com.fake.pdfreader/ | ADB, Cellebrite UFED |
| Payload descargado | /data/data/com.fake.pdfreader/files/ o /sdcard/Android/data/ | ADB, Magnet AXIOM |
| Configuración C2 | SharedPreferences, bases de datos SQLite internas | Autopsy, Oxygen Forensics |
| Logs de red | Captura pcap, logs del sistema | Wireshark, tcpdump |
| Permisos concedidos | dumpsys package com.fake.pdfreader | ADB shell |
Fase 2: Análisis estático del dropper
Herramientas y procedimiento:
1. APKTool → Decompila APK, extrae AndroidManifest.xml
- Permisos declarados (BIND_ACCESSIBILITY_SERVICE, READ_SMS, SYSTEM_ALERT_WINDOW)
- Receivers y services declarados
2. Jadx → Decompila classes.dex a código Java legible
- Buscar: DexClassLoader, PathClassLoader (carga dinámica)
- Buscar: URLs hardcodeadas o cifradas de C2
- Buscar: comprobaciones de emulador/sandbox
3. VirusTotal → Hash SHA-256 del APK
- Ratio de detección (0/70 en droppers recién publicados)
- Relaciones: otros APKs del mismo certificado
4. MobSF (Mobile Security Framework) → Análisis automatizado
- Score de riesgo, permisos peligrosos, APIs sensiblesFase 3: Análisis dinámico en sandbox
El dropper debe ejecutarse en un entorno controlado de sandbox de análisis de malware para documentar su comportamiento real:
- Configurar el sandbox con SIM virtual española, idioma ES, IP geolocalizada en España (para activar la selectividad geográfica del dropper)
- Instalar la app y conceder los permisos que solicita
- Monitorizar: tráfico de red (conexiones C2), sistema de archivos (payloads descargados), actividad de procesos (instalación del payload)
- Documentar con capturas de pantalla, volcados de tráfico de red y hashes de todos los archivos generados
Fase 4: Correlación con IoCs conocidos
| Tipo de IoC | Ejemplo | Base de datos |
|---|---|---|
| Hash SHA-256 del dropper | a1b2c3d4e5f6... | MalwareBazaar, VirusTotal |
| Dominio C2 | update-service[.]xyz | URLhaus, PhishTank |
| IP del servidor C2 | 185.220.101.XX | AbuseIPDB, Shodan |
| Certificado del desarrollador | CN=FakeDevCorp | Google Play API |
| Package name | com.fake.pdfreader | APKMirror, Koodous |
Herramientas forenses especializadas
- APKTool + Jadx: Decompilación estática del dropper (análisis de malware)
- MobSF: Análisis automatizado estático y dinámico
- Frida: Instrumentación en tiempo real para hookear funciones de descarga
- Cellebrite UFED / Oxygen Forensics: Extracción física de dispositivo Android
- Magnet AXIOM: Análisis de artefactos y timeline del sistema
- Wireshark: Captura y análisis de tráfico de red C2
Marco legal en España
Delitos tipificados aplicables a droppers
La distribución y uso de droppers puede encuadrarse en varios tipos penales del Código Penal español:
| Artículo | Delito | Aplicación al dropper | Pena |
|---|---|---|---|
| Art. 248-249 CP | Estafa informática | El dropper es el instrumento para ejecutar la estafa bancaria (transferencias fraudulentas) | 6 meses a 3 años; si la cuantía supera 50.000 EUR: 1 a 6 años |
| Art. 264 CP | Daños informáticos | El dropper modifica el sistema del dispositivo e instala software no autorizado | 6 meses a 3 años |
| Art. 264 bis CP | Interrupción de sistemas | Si el payload provoca indisponibilidad de servicios | 6 meses a 3 años |
| Art. 197 CP | Descubrimiento y revelación de secretos | El payload accede a datos bancarios, credenciales y comunicaciones privadas | 1 a 4 años; agravante si datos bancarios: 2 a 6 años |
| Art. 197 ter CP | Facilitación de herramientas para cometer delitos informáticos | El operador DaaS que vende acceso al dropper | 6 meses a 2 años |
Relevancia del informe pericial en casos de dropper
El informe pericial es determinante para:
- Exonerar a la víctima: Demostrar que la infección se produjo por un dropper sofisticado que evadió los controles de Google Play, no por negligencia del usuario
- Reclamación bancaria: Los bancos españoles suelen alegar “negligencia del usuario” para no devolver el dinero robado. El informe pericial que acredita malware sofisticado con evasión de Play Protect invalida este argumento
- Denuncia penal: Documentar la cadena técnica completa (dropper, C2, payload, transacciones) para la investigación policial
Nota sobre jurisprudencia
El análisis legal se basa en la interpretación del Código Penal español vigente. Para casos específicos, se recomienda consultar la jurisprudencia actualizada del Tribunal Supremo y las Audiencias Provinciales en materia de ciberdelincuencia, así como contar con asesoramiento jurídico especializado.
Prevención: cómo identificar un posible dropper
Señales de alerta antes de instalar una app
| Señal | Por qué es sospechosa |
|---|---|
| App de utilidad básica (lector PDF, linterna, limpiador) con millones de descargas | Los droppers eligen categorías con alta demanda y baja competencia de apps oficiales |
| Solicita permisos de Accesibilidad Android | Un lector PDF no necesita accesibilidad; es la puerta de entrada para instalar el payload |
| Solicita acceso a SMS | Permite interceptar códigos OTP bancarios |
| Solicita permiso de superposición sobre otras apps | Permite ejecutar overlay attacks sobre apps bancarias |
| Desarrollador desconocido con una sola app publicada | Patrón habitual de cuentas de dropper |
| Reviews genéricas en inglés para una app en español | Indicador de reviews compradas por bots |
Protección recomendada
- Descargar apps bancarias solo desde el enlace oficial del sitio web de tu banco
- No conceder nunca permisos de Accesibilidad a apps que no sean de asistencia a discapacidad
- Mantener Google Play Protect activado (detecta variantes conocidas)
- Revisar los permisos de las apps instaladas periódicamente: Ajustes, Apps, Permisos
- Actualizar el sistema operativo Android a la última versión disponible
- Activar alertas bancarias por SMS para cada transacción
Preguntas frecuentes
¿Un dropper puede infectar un iPhone?
Es extremadamente raro. Apple App Store tiene controles significativamente más restrictivos que Google Play: revisión manual de código, prohibición de carga dinámica de código y restricciones de Accessibility API. Sin embargo, no es imposible: en 2024 se documentaron casos aislados de apps maliciosas en App Store que utilizaban técnicas de ofuscación para evadir la revisión manual. En la práctica, la gran mayoría de campañas de dropper se dirigen exclusivamente a Android.
¿Google Play Protect elimina los droppers?
Google Play Protect detecta y elimina las variantes conocidas (con firmas ya incluidas en su base de datos), pero los droppers nuevos pueden permanecer activos en Google Play durante días o semanas antes de ser detectados. Una vez que Google retira la app de Play Store, Play Protect la marca como peligrosa en los dispositivos que ya la tienen instalada, pero el payload ya descargado puede seguir activo si no se realiza un análisis completo del dispositivo.
¿Un factory reset elimina el dropper y su payload?
Sí, un restablecimiento de fábrica elimina tanto el dropper como el payload instalado. Sin embargo, si el objetivo es presentar denuncia o reclamar al banco, primero debe realizarse una extracción forense del dispositivo para preservar la evidencia. El factory reset destruye irremediablemente las pruebas necesarias para el informe pericial. Contacta con un perito informático forense antes de resetear el dispositivo.
¿Cuánto cuesta el análisis forense de un dropper?
| Servicio | Coste estimado |
|---|---|
| Extracción forense del dispositivo | 400-800 EUR |
| Análisis estático y dinámico del dropper + payload | 600-1.200 EUR |
| Informe pericial completo (timeline, IoCs, conclusiones) | 400-800 EUR |
| Ratificación judicial | 300-600 EUR |
| Total típico | 1.700-3.400 EUR |
El ROI del informe pericial puede ser muy alto: si el informe acredita que la infección se produjo por malware sofisticado que evadió Google Play Protect, el banco puede devolver entre el 60% y el 100% del dinero robado.
¿Qué diferencia hay entre un dropper y un downloader?
Aunque ambos términos se usan a veces de forma intercambiable, técnicamente un dropper contiene o desempaqueta el payload localmente, mientras que un downloader lo descarga de internet. En la práctica actual, la mayoría de droppers en Google Play son híbridos: la app descarga el payload desde un servidor C2, combinando ambas funcionalidades.
Referencias y fuentes
Zscaler ThreatLabz. (2025). “Anatsa Banking Trojan: Tracking the Latest Google Play Store Campaigns”. Disponible en: zscaler.com
- 77+ apps dropper identificadas, 19 millones de descargas acumuladas
ThreatFabric. (2024). “Anatsa Trojan Returns: Targeting Europe and Expanding Its Reach”. Disponible en: threatfabric.com
- Campaña dirigida a España, Alemania, UK, República Checa; 831 entidades financieras objetivo
Cleafy. (2024). “SharkBot: A New Generation of Android Banking Trojan”. Disponible en: cleafy.com
- Análisis técnico de droppers SharkBot en Google Play
NCC Group / Fox-IT. (2023). “SharkBot is back in Google Play”. Disponible en: nccgroup.com
- Documentación de técnicas de evasión de Play Protect
ThreatFabric. (2023). “Xenomorph v3: A New Variant with ATS Framework”. Disponible en: threatfabric.com
- Campaña Xenomorph con droppers en Google Play, ATS framework para transferencias automatizadas
INCIBE. (2025). “Balance de Ciberseguridad 2025”. Disponible en: incibe.es
- 122.223 ciberincidentes gestionados en España, malware como primera categoría
Google. (2025). “How Google Play Protect works”. Disponible en: support.google.com
- Documentación oficial del sistema de detección de malware de Google
Kaspersky Securelist. (2025). “Mobile malware evolution 2024”. Disponible en: securelist.com
- 1.242.000 ataques de troyanos bancarios a Android en 2024 (+196%)
Código Penal español: Arts. 197 (descubrimiento y revelación de secretos), 197 ter (facilitación de herramientas), 248-249 (estafa), 264 (daños informáticos)
Europol. (2025). “Internet Organised Crime Threat Assessment (IOCTA)”. Disponible en: europol.europa.eu
- Dropper-as-a-Service identificado como tendencia creciente en ecosistema criminal
Nota: Los casos prácticos descritos se basan en investigaciones publicadas por empresas de ciberseguridad (ThreatFabric, Zscaler ThreatLabz, Cleafy). Las cifras de daños son estimaciones basadas en informes de la industria. Para información actualizada sobre campañas activas, consultar los informes originales de los investigadores citados.
¿Sospechas que una app ha instalado malware en tu dispositivo? En Digital Perito realizamos análisis forense de dispositivos Android comprometidos por droppers, generando informes periciales admisibles ante tribunales que documentan la cadena completa de infección. Contacta con nosotros para una evaluación inicial gratuita.
Última actualización: 16 de febrero de 2026 Autor: Jonathan Izquierdo, ex-CTO y 5x AWS Certified, perito informático forense con metodología ISO 27037 Categoría: Malware (MAL-020) Nivel técnico: Intermedio-Avanzado Relevancia: Muy Alta (amenaza activa 2026)
Preguntas Frecuentes
¿Qué es un dropper de malware?
Un dropper es una app aparentemente legítima que, una vez instalada, descarga e instala malware adicional en el dispositivo, evadiendo los controles de seguridad de Google Play.
¿Cómo se cuela un dropper en Google Play?
Los atacantes publican apps funcionales sin código malicioso. Después de acumular descargas y buenas reviews, inyectan el código dropper mediante una actualización.
¿Cómo puedo saber si una app es un dropper?
Desconfía de apps de utilidad básica (lectores PDF, limpiadores) que solicitan permisos de accesibilidad, acceso a SMS o superposición sobre otras apps.
Términos Relacionados
APK Malicioso
Paquete de instalación Android (Android Package Kit) modificado para contener código malicioso. Principal vector de distribución de troyanos bancarios, con un aumento del 196% en ataques a banca móvil en 2024, según Kaspersky.
Sandbox (Análisis de Malware)
Entorno virtualizado y aislado donde se ejecuta software sospechoso para observar su comportamiento en tiempo real sin riesgo para sistemas de producción, generando informes forenses detallados de actividad maliciosa.
Análisis de Malware
Proceso técnico de examen, descomposición y comprensión del comportamiento de software malicioso mediante análisis estático, dinámico y de memoria para identificar sus capacidades, impacto y atribución.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita