Un nuevo troyano bancario, catalogado como ToxicPanda por los investigadores de Cleafy, lleva activo en la Play Store desde al menos enero de 2026, con más de 40.000 instalaciones confirmadas antes de que Google comenzara la retirada de las apps infectadas el pasado viernes. España es el tercer país con más afectados en Europa, por detrás de Italia y Portugal.
Cómo funciona y por qué es difícil de detectar
ToxicPanda no es un malware nuevo: es una evolución de TgToxic, un troyano que circulaba principalmente en Asia en 2023. Lo que ha cambiado es la estrategia de distribución. Las apps infectadas se presentaban como herramientas de productividad, lectores de documentos y gestores de archivos con valoraciones artificialmente infladas. Ninguna superaba las 4,2 estrellas, lo justo para no levantar sospechas pero suficiente para aparecer en los primeros resultados de búsqueda dentro de la tienda.
El mecanismo de ataque aprovecha los servicios de accesibilidad de Android, el vector favorito de los troyanos bancarios desde hace años. Una vez que el usuario concede permisos de accesibilidad a la app, el troyano puede leer la pantalla, interceptar notificaciones de autenticación de dos factores, y capturar credenciales de aplicaciones bancarias sin necesidad de interactuar directamente con ellas. No roba la contraseña del banco: espera a que la introduzcas tú y la copia.
Por qué Play Protect no lo detectó durante semanas
Google Play Protect analiza las apps en busca de comportamientos maliciosos conocidos. El problema es que ToxicPanda incluye un módulo de ofuscación que retrasa la activación del comportamiento malicioso: durante los primeros tres días de instalación, la app funciona exactamente como promete. Solo después activa los servicios de accesibilidad en segundo plano y comienza el rastreo.
Este patrón de activación retardada es conocido desde hace tiempo y Play Protect teóricamente debería detectarlo. Que no lo haya hecho en el 100% de los casos es una señal de que los controles estáticos de la tienda siguen siendo insuficientes para malware que adapta su comportamiento al entorno.
Cómo saber si estás afectado
Si instalaste alguna de estas apps entre enero y abril de 2026 en un dispositivo Android, revisa si tienes apps con permisos de accesibilidad que no hayas activado conscientemente: Ajustes > Accesibilidad > Apps instaladas. Si hay alguna que no reconoces, retírala y cambia las credenciales de cualquier app bancaria que uses en ese dispositivo.
La lista de apps infectadas confirmadas incluye variantes con nombres como "PDF Reader Pro", "File Manager Plus", "Quick Doc Viewer" y "Smart Utilities Manager". Los nombres son genéricos por diseño. En los escenarios de ciberguerra permanente del informe de amenazas de 2026, este tipo de ataques dirigidos a móviles de consumo son exactamente la amenaza más difícil de gestionar: sofisticados en su ejecución, invisibles hasta que el daño está hecho.
Qué dice este caso sobre la seguridad de las tiendas de apps
La narrativa de que la Play Store es más segura que las fuentes de terceros es cierta en términos estadísticos, pero se usa con demasiada frecuencia como argumento para no revisar qué se instala. ToxicPanda no llegó a través de un APK descargado de un foro oscuro: llegó a través del canal oficial, con proceso de revisión activo, con valoraciones y comentarios que parecían legítimos y con miles de descargas que daban apariencia de credibilidad.
El modelo de seguridad de Google Play Protect tiene limitaciones conocidas. La revisión en el momento de la publicación no garantiza que el comportamiento de una app no cambie después mediante actualizaciones o mediante lógica condicional que solo se activa bajo ciertas condiciones. Google puede eliminar una app cuando la detecta como maliciosa, pero para entonces el daño puede llevar semanas ocurriendo.
Apple App Store tiene un modelo de revisión más estricto que históricamente ha reducido la incidencia de este tipo de malware, pero no lo ha eliminado. En 2025 se detectaron al menos tres casos de apps con comportamiento malicioso activado por servidor en la App Store. El problema no es exclusivo de Android.
Medidas preventivas que reducen el riesgo
Más allá de revisar los permisos de accesibilidad, hay algunas medidas concretas que reducen la probabilidad de ser víctima de este tipo de malware. La primera y más efectiva es limitar las instalaciones a apps de desarrolladores reconocidos con historial verificable. Una app de productividad con 10.000 descargas y publicada hace dos semanas merece más escrutinio que una con millones de usuarios y años de historial.
La segunda es usar un gestor de contraseñas separado del navegador del dispositivo, preferiblemente uno que no se autocomplete en apps que no reconoce. Bitwarden, por ejemplo, tiene detección de apps suplantadas que reduce el riesgo de autocompletado en apps maliciosas. Y la tercera es habilitar las notificaciones de nuevas concesiones de permisos en Android 13 y versiones posteriores: cualquier nueva app que solicite permisos de accesibilidad después de la instalación debería levantar una bandera roja inmediata.
El canal de difusión más efectivo para este malware no han sido webs de terceros ni tiendas alternativas, sino la propia Play Store. Si eso no es argumento suficiente para revisar periódicamente qué permisos tienen tus apps, no sé qué lo es.
0 Comentarios