Julián López Jiménez

Ingeniero del Software | Profesor de FP

klopatra-troyano

Klopatra troyano: qué es y cómo proteger tu Android

Qué es Klopatra y por qué preocupa en 2025

Klopatra es un troyano bancario/RAT para Android diseñado para robar dinero de apps financieras y carteras cripto y, además, tomar el control total del teléfono a distancia mediante Hidden VNC (un control remoto invisible que puede operar incluso con la pantalla apagada o en negro). Fue descubierto por el equipo de Cleafy a finales de agosto de 2025 y ya suma más de 3.000 dispositivos comprometidos, con foco en España e Italia, organizado en dos botnets y con un desarrollo muy activo (decenas de versiones desde marzo de 2025).

A diferencia de otras familias, Klopatra no se descarga desde Google Play, sino desde páginas maliciosas donde se hace pasar por una app legítima. Entre sus técnicas de evasión destacan Virbox (protección/empacado), uso de librerías nativas para dificultar el análisis, antidebugging y detección de emuladores. El resultado: un malware persistente, sigiloso y difícil de detectar tanto para el usuario como para herramientas de análisis.

Resumen rápido: capacidades (Hidden VNC, overlays, Virbox)

  • Hidden VNC con pantalla negra: los atacantes mueven el dispositivo “a ciegas” para autorizar pagos, cambiar ajustes y robar códigos.
  • Overlays dinámicos: superponen pantallas falsas sobre bancos/fintech para robar credenciales.
  • Evasión: empaquetado con Virbox, cadenas ofuscadas y módulos nativos.

Cómo se infectan los móviles: IPTV/VPN falsas y apps fuera de Google Play

La puerta de entrada típica es el dropper “Modpro IP TV + VPN”, una app “gratuita” de IPTV/VPN ofrecida en webs clonadas o páginas de descarga. El usuario instala el APK y, tras ejecutarlo, la app solicita permisos de Accesibilidad con pretextos de “mejora de rendimiento” o “bloqueo de anuncios”. Esas autorizaciones permiten a Klopatra leer la pantalla, simular toques y gestionar apps sin que te enteres.

Buenas prácticas aquí y ahora

  • Nunca instales APKs desde enlaces en foros/Telegram/anuncios; usa sólo Google Play y mira reseñas/autorizaciones.
  • En Android, revisa Ajustes → Seguridad → Instalar apps desconocidas: desactívalo salvo necesidad.
  • Activa Play Protect y la opción “mejorar la detección de apps dañinas”.

Señales de alerta al instalar (permisos de Accesibilidad, fuentes desconocidas)

  • La app pide Accesibilidad para “funciones” que no la justifican (p. ej., una “VPN” que quiere controlar pulsaciones).
  • Se instala desde un navegador y no desde Play; el sistema te advierte de fuentes desconocidas.
  • Tras instalar, ves pantallas superpuestas o “autotoques” en menús del sistema.

Qué puede hacer en tu teléfono

Una vez dentro, Klopatra se comporta como operador humano con guantes invisibles:

Control remoto con pantalla negra (Hidden VNC)

El operador toma el control con VNC oculto, muchas veces apagando la pantalla o activando un “negro total” para que no notes actividad, mientras autoriza transferencias, cambia límites y añade beneficiarios. Esto reduce la fricción de fraudes porque aprovecha tu propia sesión y dispositivo “de confianza”.

Robo de credenciales bancarias y wallets

Mediante overlays imita pantallas de login y SMS/OTP; además, con Accesibilidad puede leer notificaciones y copiar códigos. Algunas campañas apuntan también a carteras cripto calientes.

Cómo saber si podrías estar infectado

Indicadores visibles

  • Accesibilidad activada para una app que no debería tenerla (p. ej., “Modpro IP TV + VPN”).
  • Gestos “fantasma”: menús que se mueven solos, toques sin interacción.
  • Superposiciones que cubren apps bancarias o formularios de SMS/OTP.
  • Consumo anómalo de batería/datos cuando la pantalla está apagada.

Verificaciones rápidas sin root

  1. Ajustes → Accesibilidad → Servicios: desactiva cualquier servicio sospechoso.
  2. Ajustes → Apps: busca “Modpro IP TV + VPN” u otras desconocidas; fuerza cierre y desinstala.
  3. Google Play Protect: ejecuta un análisis inmediato.
  4. Notificaciones: comprueba si apps bancarias muestran accesos o aprobaciones que no hiciste.

Consejo: si la app maliciosa impide su eliminación, pasa al Modo Seguro (reinicio con carga mínima) y repite los pasos de desinstalación.

Qué hacer si sospechas de Klopatra (paso a paso)

  1. Desconecta datos/Wi-Fi para cortar el acceso remoto.
  2. Modo Seguro y revoca Accesibilidad de cualquier app dudosa.
  3. Desinstala el dropper y cualquier paquete sospechoso.
  4. Pasa un escáner AV reputado y borra cachés.
  5. Desde un dispositivo limpio, cambia contraseñas bancarias y de email; revoca dispositivos/llaves guardadas.
  6. Contacta con tu banco para revisar movimientos y levantar alerta de fraude.
  7. Considera restablecer de fábrica si persisten síntomas (previo backup verificado).

Cómo prevenir nuevos ataques

Buenas prácticas Android

  • Instala solo desde Google Play y revisa permisos antes de aceptar Accesibilidad.
  • Mantén Android y apps actualizados; aplica parches de seguridad.
  • Activa bloqueo biométrico y cifrado del dispositivo; evita root si no es imprescindible.

Recomendaciones para banca móvil

  • 2FA robusto (preferible app de códigos o passkeys; evita SMS si puedes).
  • Límites y alertas: configura importes diarios y avisos de transacciones.
  • Usa dispositivo dedicado o perfil de trabajo para apps financieras si gestionas grandes importes.

Klopatra en números: alcance y actor detrás

  • >3.000 dispositivos comprometidos y dos botnets activas (campañas desde marzo de 2025). Principalmente España e Italia.
  • Distribución mediante páginas maliciosas con el dropper “Modpro IP TV + VPN”; no está en Google Play.
  • Actor con raíces en Turquía y desarrollo muy activo (decenas de builds).

Preguntas frecuentes sobre Klopatra

¿Qué diferencia a Klopatra de otros troyanos Android?
Su combinación de Hidden VNC (control remoto sigiloso) + overlays y un empaquetado/evitación muy agresivo (Virbox, nativo, antidebug). Resultado: más persistencia y capacidad de fraude en tiempo real.

¿Cómo llega al teléfono?
Mediante APKs fuera de Google Play que se hacen pasar por IPTV/VPN (p. ej., “Modpro IP TV + VPN”) y que luego piden Accesibilidad.

¿Puede operar con la pantalla apagada o en negro?
Sí, ese es precisamente uno de sus “trucos” con Hidden VNC, lo que dificulta que el usuario detecte actividad maliciosa.

¿A quién afecta más?
Según los informes iniciales, España e Italia concentran la mayoría de infecciones detectadas.

¿El nombre correcto es “Kleopatra” o “Klopatra”?
La prensa técnica y el reporte original usan Klopatra; muchos usuarios lo buscan como Kleopatra. Usa ambos términos en tu contenido para captar búsquedas y aclarar la denominación.

Conclusión

Klopatra (sí, el “Kleopatra troyano” de las búsquedas) es uno de los malware Android más peligrosos de 2025 por su capacidad de control remoto invisible y su ingeniería social alrededor de apps IPTV/VPN fuera de Play. Si educas al usuario sobre Accesibilidad, fuentes de instalación y señales de overlays, y acompañas con checklists de respuesta rápida, estarás por delante de la mayoría de guías. Este artículo te deja ese kit esencial para detectar, actuar y prevenir.

julian lopez jimenez

Hola, encantado de conocerte.

Regístrate para recibir las últimas entradas, cada domingo.

¡No hago spam!