Publicado: octubre 7, 2025, 11:23 am
Las IPTV siguen atravesando una complicada situación en España, ya no solo por las emisiones ilegales de fútbol, sino porque ha aparecido un nuevo troyano bancario que se hace pasar por una IPTV legítima para tomar el control del móvil de las víctimas y, así, vaciar sus cuentas bancarias.
Este tipo de software malicioso se llama Klopatra y es un troyano de acceso remoto para Android que, para su distribución, se hace pasar por un servicio IPTV y una red privada virtual, es decir, una VPN. Pero, ¿cómo se distribuye entre los usuarios? El equipo Inteligencia de Amenazas de Cleafy explica en su blog oficial que los ciberdelincuentes promocionan a Klopatra como la aplicación de streaming pirata Mobdro, además, con la condición de que dicha plataforma se tiene que descargar fuera de Play Store.
Por lo tanto, cuando la víctima instala esta app en su smartphone Android, esta solicita permisos para los servicios de accesibilidad, que dan acceso a todo el dispositivo. Y en él, logra camuflarse para robar información, a través de capturas o grabaciones de pantalla, del registro de lo que teclea o de la recopilación de la lista de aplicaciones.
Cleafy indica que el objetivo de Klopatra consiste en vaciar la cuenta bancaria de los afectados y, para ello, actúa durante la noche, cuando detecta que el teléfono está inactivo con la pantalla apagada. En ese momento, el ciberdelincuente empieza a usar el móvil en remoto al introducir el PIN o el patrón que lo desbloquea, reduce el brillo de la pantalla, accede a la app del banco y, tras meter las credenciales, realiza varias transferencias bancarias hasta robar todo el dinero la víctima.
España, uno de los países afectados por el troyano bancario Klopatra
Cleafy destaca la capacidad de Klopatra para pasar desapercibido con el empleo de técnicas antisandboxing, bibliotecas nativas difíciles de leer y el uso de Virbox, que encripta y oculta el código malicioso para que no se pueda detectar durante los análisis de seguridad.
Por otra parte, esta compañía de ciberseguridad indica que Klopatra se ha detectado en dos campañas activas dirigidas contra usuarios de España e Italia, dos países donde los servicios IPTV promocionan acceso gratuito a todos los partidos de fútbol, que generalmente son de pago y están disponibles en distintas plataformas y canales. Por el momento, se han detectado más de 3.000 dispositivos infectados y se ha identificado el origen de Klopatra en un grupo criminal de habla turca.
Recordemos que, a mediados de agosto, LaLiga recordó que el fútbol pirata «supone una amenaza grave para la seguridad y la privacidad», teniendo en cuenta que «más del 50% de virus detectados en Internet provienen de servicios piratas o plataformas de descarga ilegales».
