(https://i.postimg.cc/T3SNLJ7d/Malware-1.png) (https://postimg.cc/pmfJ3zM4)
Los investigadores de ThreatFabric descubrieron un nuevo troyano para Android llamado Crocodilus, que explota las funciones de accesibilidad para robar credenciales bancarias y de criptomonedas.
"Crocodilus entra en escena no como un simple clon, sino como una amenaza completa desde el principio, equipada con técnicas modernas como control remoto, superposiciones de pantalla negra y recolección avanzada de datos mediante registro de accesibilidad", afirma el informe publicado por ThreatFabric. "Este informe explora las características de Crocodilus, sus vínculos con actores de amenazas conocidos y cómo engaña a las víctimas para que ayuden al malware a robar sus propias credenciales".
La nueva amenaza imita el malware bancario moderno, utilizando ataques de superposición, keylogging y acceso remoto. Los expertos señalaron que elude las restricciones de Android 13+ mediante un dropper.
Crocodilus se conecta a un servidor C2, monitoriza el inicio de aplicaciones y utiliza superposiciones para robar credenciales. ThreatFabric afirma que el malware se dirige principalmente a usuarios en España y Turquía, y se espera una expansión global. El malware también cuenta con funciones avanzadas de keylogger, capturando todos los eventos de accesibilidad y elementos de la pantalla.
El código malicioso admite una amplia gama de comandos de bots y RAT que permiten a los ciberdelincuentes controlar completamente un dispositivo infectado. Sus principales características incluyen:
Capacidades del bot:
Control de llamadas y SMS: Habilita el desvío de llamadas, envía SMS a números específicos o a todos los contactos, recupera mensajes SMS y se convierte en el administrador de SMS predeterminado.
Ataques de superposición: Comprueba si hay superposiciones disponibles dirigidas a las aplicaciones instaladas, generalmente para el robo de credenciales.
Administración y persistencia del dispositivo: Solicita privilegios de administrador del dispositivo, bloquea la pantalla y se protege contra la eliminación.
Notificaciones e ingeniería social: Publica notificaciones push falsas para engañar a los usuarios.
Comandos remotos y actualizaciones de configuración: Actualiza la configuración del bot y del C2, activa o desactiva el sonido y gestiona la ejecución de tareas.
Capacidades de RAT:
Interacción y control de la pantalla: Realiza deslizamientos, clics y pulsaciones de botones (Atrás, Inicio, Menú). Modo RAT oculto: Permite el acceso remoto oculto mientras el teléfono está silenciado y muestra una superposición negra para ocultar actividades.
Robo de datos: Captura el contenido de la pantalla de Google Authenticator para robar códigos OTP.
Acceso a la cámara: Inicia la transmisión de la cámara frontal para un posible robo de identidad o vigilancia.
Crocodilus roba códigos OTP de Google Authenticator mediante el registro de accesibilidad, lo que permite el robo de cuentas. También utiliza el acceso remoto oculto con una superposición de pantalla negra y sonido silenciado para ocultar actividades fraudulentas.
(https://i.postimg.cc/V6p9n3dJ/Android-trojan-Crocodilus.png) (https://postimg.cc/yghSzphK)
Crocodilus engaña a las víctimas para que revelen su frase semilla mostrando una advertencia falsa y luego registra el texto mediante las funciones de Accesibilidad para robar y vaciar las billeteras de criptomonedas.
"La aparición del troyano de banca móvil Crocodilus marca un aumento significativo en la sofisticación y el nivel de amenaza que representa el malware moderno. Con sus avanzadas capacidades de robo de dispositivos, funciones de control remoto y el despliegue de ataques de superposición negra desde sus primeras iteraciones, Crocodilus demuestra un nivel de madurez poco común en las amenazas recién descubiertas", concluye ThreatFabric. "Ya observado atacando a bancos en España y Turquía y a las billeteras de criptomonedas más populares, Crocodilus está claramente diseñado para atacar activos de alto valor".
El malware podría estar vinculado al actor de amenazas "sybra", conocido por usar bifurcaciones de Ermac y otro malware. El análisis del código fuente sugiere que sus autores hablan turco.
Fuente:
SecurityAffairs
https://securityaffairs.com/175976/malware/new-sophisticate-crocodilus-mobile-banking-trojan.html