(https://i.imgur.com/C6yMPsZ.png)
Un nuevo malware bancario para Android, denominado Crocodilus, engaña a los usuarios para que proporcionen la frase semilla de su billetera de criptomonedas a través de una falsa advertencia sobre la necesidad de hacer una copia de seguridad.
Cómo funciona CrocodilusCrocodilus no solo roba credenciales financieras, sino que también tiene capacidades avanzadas para tomar el control total del dispositivo, recolectar datos y ejecutar comandos de manera remota.
Según los investigadores de ThreatFabric, este malware se distribuye mediante un dropper propietario que evade las protecciones de seguridad de Android 13 y versiones posteriores. Este dropper instala el malware sin activar Play Protect y esquiva las restricciones del Servicio de Accesibilidad de Android.
Lo que hace único a Crocodilus es su uso de ingeniería social. Mediante una superposición de pantalla, advierte falsamente a las víctimas que deben hacer una copia de seguridad de su clave de billetera en la configuración dentro de las próximas 12 horas, o perderán el acceso.
"Este truco de ingeniería social guía a la víctima para que navegue hasta su frase semilla, permitiendo que Crocodilus la capture mediante su Registrador de Accesibilidad", explican los investigadores de ThreatFabric. Con esta información, los atacantes pueden tomar el control de la billetera y vaciar los fondos.
Países afectados y método de distribuciónLas primeras infecciones de Crocodilus se detectaron en España y Turquía, atacando tanto a billeteras de criptomonedas como a cuentas bancarias locales. Los mensajes de depuración sugieren que el malware podría tener origen turco.
El vector de infección exacto no está claro, pero se cree que las víctimas descargan droppers desde:
- Sitios web maliciosos
- Falsas promociones en redes sociales o SMS
- Tiendas de aplicaciones de terceros
Funcionalidades avanzadas del malwareUna vez activo, Crocodilus abusa del Servicio de Accesibilidad para obtener control del dispositivo, permitiendo:
- Superposiciones falsas sobre apps bancarias y de criptomonedas para robar credenciales.
- Captura de pantalla de Google Authenticator para obtener códigos 2FA.
- Control total del dispositivo mediante comandos remotos.
El malware admite 23 comandos maliciosos, entre ellos:- Habilitar el desvío de llamadas
- Iniciar aplicaciones específicas
- Enviar SMS masivos a contactos
- Solicitar privilegios de administrador de dispositivos
- Bloquear la pantalla del dispositivo
- Silenciar el sonido o mostrar una superposición negra para ocultar actividad
Además, Crocodilus tiene funcionalidades de Troyano de Acceso Remoto (RAT), permitiendo que sus operadores naveguen por la interfaz, realicen gestos de deslizamiento y manipulen el dispositivo a distancia.
Cómo protegerse de CrocodilusAunque actualmente Crocodilus parece estar limitado a España y Turquía, su capacidad para expandirse a más países y aplicaciones es alta. Para evitar ser víctima de este malware, se recomienda:
✅ No descargar APK fuera de Google Play.
✅ Mantener Play Protect activado en todo momento.
✅ Evitar hacer clic en enlaces sospechosos recibidos por SMS o redes sociales.
✅ Revisar los permisos otorgados a las aplicaciones y deshabilitar accesos innecesarios.
Dado su potencial peligro, es crucial que los usuarios de Android adopten buenas prácticas de seguridad para proteger sus dispositivos y credenciales financieras.
Fuente: https://www.bleepingcomputer.com/