Más de 150.000 dispositivos Android en todo el mundo han sido infectados a través de aplicaciones aparentemente inocentes descargadas desde la propia Google Play Store. El protagonista de este desastre silencioso es Anatsa, un troyano bancario que el INCIBE-CERT ha estudiado en detalle y que tiene como objetivo prioritario a los usuarios de banca electrónica en España y el resto de Europa. La paradoja es que la aplicación que abre la puerta al robo ni siquiera levanta sospechas: parece un editor de fotos, un lector de PDF o una utilidad de archivos.
Lo que hace especialmente peligroso a Anatsa no es solo lo que roba, sino cómo lo hace. Desde el momento en que una aplicación infectada obtiene permisos de accesibilidad, el malware comienza a rastrear qué otras aplicaciones abres en tu teléfono. Cuando detecta el acceso a tu banco, despliega una pantalla superpuesta idéntica a la legítima para capturar tus credenciales antes de que te des cuenta de que algo va mal.
La aplicación de fotos que no es lo que parece: así funciona Anatsa
El patrón de distribución de Anatsa se repite con una eficacia inquietante. Los investigadores de Zscaler detectaron que este troyano se ocultaba específicamente en aplicaciones de gestión de archivos y lectores de documentos que acumulaban decenas de miles de descargas antes de ser retiradas. En agosto de 2025, Google eliminó de su tienda 77 aplicaciones maliciosas con más de 19 millones de instalaciones, buena parte de las cuales distribuían precisamente este malware bancario.
La clave técnica de Anatsa está en su uso del cifrado DES para ocultar sus cadenas de texto y en su capacidad para verificar si está siendo analizado en un emulador, lo que le permite mantenerse inactivo durante las revisiones de seguridad y activarse solo cuando detecta un entorno real. Una vez dentro, puede crear páginas de phishing mediante ingeniería social, interceptar SMS con códigos de verificación y, en definitiva, completar transferencias bancarias fraudulentas sin que el propietario del dispositivo lo perciba.
Qué aplicaciones vigila este troyano bancario y cómo proteger tu cuenta
La empresa de ciberseguridad Zscaler identificó que las aplicaciones infectadas más recientes por Anatsa fueron concretamente "PDF Reader & File Manager" y "QR Reader & File Manager", ya eliminadas de Google Play pero con más de 70.000 descargas acumuladas. El Anatsa, también conocido como TeaBot, lleva operando desde 2021 y ha ido evolucionando sus técnicas de evasión a medida que las plataformas reforzaban sus controles.
El perfil de aplicación más utilizada como vector de infección responde a una lógica clara: se trata de herramientas que el usuario instala sin dudar porque las necesita en el día a día y porque su nombre suena genérico y de confianza. Editores de fotos, escáneres de documentos, lectores de QR o gestores de archivos son las categorías que más han explotado los ciberdelincuentes para introducir este malware en dispositivos de toda Europa.
El troyano que bloquea la llamada de tu banco antes de que puedas reaccionar
Las variantes más recientes de troyanos bancarios para Android han incorporado una capacidad que convierte cualquier reacción en tiempo en algo casi imposible: bloquean las llamadas entrantes del banco cuando este intenta alertar al usuario de que se está produciendo una transferencia no autorizada. El malware silencia las notificaciones, oculta su icono del menú de aplicaciones y saca capturas de pantalla de forma intermitente para registrar exactamente qué está viendo el usuario en cada momento.
El riesgo es especialmente elevado porque Anatsa apunta a más de 200 aplicaciones financieras y de criptomonedas con un listado que incluye entidades bancarias presentes en España como BBVA, Santander o CaixaBank. Si el troyano detecta que tienes instalada alguna de estas apps, espera pacientemente a que la abras para superponer su pantalla falsa y capturar tus credenciales de acceso en tiempo real.
Cómo saber si tienes una aplicación infectada y qué hacer
Una infección por Anatsa no siempre da señales evidentes, pero hay indicadores que deberían ponerte en alerta. Revisa con urgencia tu dispositivo si reconoces alguno de estos comportamientos:
- Una aplicación que pedía permisos de accesibilidad sin una razón clara para su función básica.
- Aparición de una app con el nombre de "Google Play Protect" que no está integrada en el sistema oficial.
- Pantallas de inicio de sesión bancario que se ven ligeramente diferentes a las habituales.
- Consumo de batería inusualmente alto con el móvil en reposo.
Si sospechas que estás infectado
Actúa sin perder tiempo: desconecta el móvil de internet, cambia tus contraseñas bancarias desde otro dispositivo de confianza y llama a tu banco para bloquear accesos y revisar los movimientos recientes. A continuación, revisa en Ajustes > Accesibilidad qué aplicaciones tienen ese permiso activado y desinstala cualquier app que no reconozcas.
Antes de instalar cualquier aplicación
Verifica siempre el nombre del desarrollador, lee las reseñas más recientes en busca de comentarios sobre comportamientos extraños y comprueba qué permisos solicita durante la instalación. Una aplicación de edición de fotos nunca necesita acceder a tus SMS ni a los servicios de accesibilidad.
El futuro de los troyanos bancarios: más difíciles de detectar, pero también de combatir
La tendencia que marcan los investigadores para los próximos meses apunta a que los troyanos bancarios serán cada vez más difíciles de detectar a simple vista, ya que están incorporando técnicas de evasión basadas en inteligencia artificial para adaptar su comportamiento según el entorno en el que se ejecutan. Sin embargo, los sistemas operativos iOS y Android ya están integrando en 2026 capas de detección de comportamiento en tiempo real que analizan el uso de permisos de accesibilidad antes de concederlos de forma automática.
La respuesta más eficaz sigue estando, no obstante, en el criterio del usuario: mantener el sistema operativo actualizado, descargar únicamente aplicaciones de desarrolladores verificados y activar Google Play Protect son hábitos que reducen drásticamente la superficie de ataque. El sentido común sigue siendo el mejor antivirus que existe, y revisar tu lista de aplicaciones instaladas una vez al mes cuesta menos de cinco minutos.
