El malware Crocodilus apunta a los usuarios de criptomonedas.
Cryptocurrencies

Un nuevo malware identificado para Android llamado Crocodilus ha emergido, capaz de secuestrar dispositivos para robar criptomonedas a través de superposiciones de aplicaciones falsas y explotaciones de accesibilidad.
La firma de ciberseguridad Threat Fabric detalló la amenaza en un informe del 28 de marzo, señalando sus características sofisticadas y su potencial de orientación global.
Crocodilus opera desplegando superposiciones engañosas cuando los usuarios abren aplicaciones bancarias o de criptomonedas, mostrando advertencias urgentes para “respaldar su clave de billetera” dentro de 12 horas.
Estas solicitudes engañan a las víctimas para exponer frases semilla, que los hackers utilizan para vaciar las billeteras.
“Una vez que una víctima proporciona una contraseña de la aplicación, la superposición mostrará un mensaje: Respalde su clave de billetera en la configuración dentro de 12 horas. De lo contrario, la aplicación se reiniciará y puede perder el acceso a su billetera. Este truco de ingeniería social guía a la víctima para navegar a su clave de frase semilla de billetera, permitiendo que Crocodilus capture el texto usando su registrador de accesibilidad,” explicó Threat Fabric.
El malware pasa por alto las medidas de seguridad de Android 13 incrustándose en software comprometido.
Una vez instalado, solicita permisos de accesibilidad, lo que permite el control remoto del dispositivo.
Threat Fabric observó que Crocodilus se conecta a servidores de comando y control para recibir instrucciones, incluyendo listas de aplicaciones objetivo y plantillas de superposición.
Una vez activado, el malware silencia los sonidos del dispositivo y lanza interfaces falsas sobre aplicaciones legítimas, interceptando credenciales y datos sensibles.
La información robada permite a los hackers ejecutar transacciones fraudulentas sin ser detectados.
Threat Fabric identificó la orientación inicial en Turquía y España, aunque los analistas advierten que el alcance puede ampliarse.
Las anotaciones de código sugieren desarrolladores de habla turca, con posibles vínculos a actores de amenazas como Sybra.
“La aparición del troyano bancario móvil Crocodilus marca una escalada significativa en la sofisticación y nivel de amenaza que representa el malware moderno… Con sus capacidades avanzadas de control de dispositivos, funciones de control remoto y el despliegue de ataques de superposición negra desde sus primeras iteraciones, Crocodilus demuestra un nivel de madurez poco común en las amenazas recientemente descubiertas,” enfatizó la firma, destacando sus capacidades avanzadas.
El descubrimiento resalta los crecientes riesgos en la seguridad móvil de criptomonedas, particularmente para los usuarios que dependen de dispositivos Android.
Aunque no se han reportado casos confirmados de ataques generalizados, el diseño del malware señala una tendencia peligrosa en el fraude financiero dirigido.