Underc0de

Un número creciente de campañas maliciosas está explotando un nuevo troyano bancario para Android llamado Crocodilus, apuntando a usuarios en Europa, América del Sur y otras regiones. Este malware, recientemente analizado en un informe de ThreatFabric, ha evolucionado rápidamente y ahora emplea técnicas avanzadas de ofuscación, nuevas funcionalidades y métodos de distribución sofisticados para evadir la detección y comprometer dispositivos móviles.

Expansión global del malware Crocodilus

Detectado por primera vez en marzo de 2025, Crocodilus comenzó atacando principalmente a usuarios de España y Turquía, haciéndose pasar por aplicaciones legítimas como Google Chrome. Desde entonces, su alcance geográfico se ha ampliado considerablemente, con nuevas campañas dirigidas a Polonia, Argentina, Brasil, India, Indonesia y Estados Unidos.

Las investigaciones más recientes revelan que los operadores de Crocodilus están activos y mantienen una estrategia de desarrollo constante. Esto incluye mejoras técnicas y la incorporación de funciones adicionales que refuerzan su capacidad para robar credenciales bancarias, frases semilla de criptomonedas y otros datos sensibles.

Técnicas de infección y distribución

Crocodilus emplea varios vectores de distribución. En Polonia, por ejemplo, los ciberdelincuentes utilizan anuncios falsos en Facebook que simulan ser plataformas bancarias o de comercio electrónico. Las víctimas son atraídas con supuestos puntos de bonificación y redirigidas a sitios maliciosos desde donde se descarga el malware.

Otras campañas se presentan como actualizaciones del navegador web o incluso como aplicaciones de casinos en línea, especialmente en España y Turquía. Este tipo de ingeniería social es clave para inducir a los usuarios a instalar voluntariamente el troyano en sus dispositivos Android.

Capacidades del troyano bancario Crocodilus

Crocodilus es un malware altamente sofisticado con funciones avanzadas como:

• Ataques de superposición (overlay attacks): Suplantación de aplicaciones financieras legítimas para capturar nombres de usuario y contraseñas.
• Abuso de servicios de accesibilidad: Permite registrar entradas de teclado, leer la pantalla y controlar el dispositivo sin interacción del usuario.
• Robo de frases semilla y claves privadas: Captura frases asociadas a billeteras de criptomonedas, permitiendo el vaciamiento de activos digitales.
• Creación remota de contactos falsos: Recientemente, el malware puede agregar automáticamente contactos a la agenda del usuario tras recibir el comando "TRU9MMRHBCRO".

Este último desarrollo podría ser una respuesta directa a las nuevas funciones de seguridad introducidas por Google en Android, que alertan a los usuarios cuando se inicia una aplicación bancaria durante una sesión de pantalla compartida. Al añadir un contacto falso con nombre como "Soporte bancario", el atacante puede engañar al usuario simulando una llamada legítima y potencialmente evadir los sistemas antifraude que detectan números desconocidos.

El peligro del recopilador automatizado de frases semilla

Una de las funcionalidades más alarmantes de las variantes recientes de Crocodilus es un analizador automático de frases semilla, diseñado para extraer frases clave y claves privadas de aplicaciones específicas de billeteras cripto. Esta automatización aumenta significativamente el riesgo de robo masivo de criptomonedas y expone a usuarios desprevenidos a pérdidas económicas severas.

Crocodilus: una amenaza en evolución para Android

La evolución constante del troyano Crocodilus y su expansión fuera de sus regiones iniciales reflejan una tendencia preocupante: los malware bancarios para Android se están volviendo más globales, sofisticados y persistentes. A medida que los atacantes refuerzan sus herramientas, los usuarios y las instituciones deben aumentar su vigilancia y adoptar prácticas de seguridad más robustas.

Recomendaciones:

• Evita descargar aplicaciones desde enlaces en redes sociales o anuncios.
• Verifica siempre la legitimidad de una app en Google Play Store.
• Utiliza soluciones de seguridad móvil que incluyan detección de malware bancario.
• No compartas tu pantalla al utilizar apps financieras.
• Mantén Android y todas tus apps actualizadas con los últimos parches de seguridad.

Fuente: https://thehackernews.com/