Un informe reciente de la firma de ciberseguridad Threat Fabric ha revelado una nueva cepa de malware móvil conocida como "Crocodilus", que representa una amenaza significativa para los usuarios de Android al emplear superposiciones falsas para obtener frases semilla de criptomonedas sensibles. Este malware puede tomar control del dispositivo de un usuario y potencialmente vaciar completamente sus billeteras de criptomonedas.
Los analistas de Threat Fabric detallaron en su informe del 28 de marzo que Crocodilus engaña a los usuarios a través de una superposición de pantalla que les insta a respaldar sus claves de billetera criptográfica antes de una fecha límite especificada. Si el usuario proporciona su contraseña, la superposición presenta una advertencia alarmante: "Respaldar la clave de su billetera en la configuración dentro de 12 horas.
De lo contrario, la aplicación se reiniciará y puede perder el acceso a su billetera." Esta táctica de ingeniería social dirige a los usuarios hacia su clave de frase semilla, permitiendo al malware capturar la información crucial a través de su registrador de accesibilidad.
Una vez obtenida la frase semilla, los atacantes pueden tomar el control total de la billetera. A pesar de ser recién descubierto, Crocodilus exhibe características avanzadas típicas del malware bancario moderno, como ataques de superposición, recopilación de datos sofisticada a través de capturas de pantalla y control remoto de dispositivos.
Threat Fabric señala que la infección inicial ocurre típicamente cuando los usuarios descargan inadvertidamente el malware empaquetado con otro software, lo que elude eficazmente las protecciones de seguridad de Android 13.
Una vez instalado, Crocodilus insta a los usuarios a habilitar servicios de accesibilidad, lo cual facilita el acceso de los hackers. Después de obtener acceso, el malware establece una conexión con un servidor de comando y control para recibir instrucciones, incluida una lista de aplicaciones objetivo y sus respectivas superposiciones.
Crocodilus funciona continuamente, monitoreando la actividad de las aplicaciones y desplegando superposiciones para interceptar credenciales de los usuarios. Cuando se abre una aplicación bancaria o de criptomonedas objetivo, la superposición falsa oculta la actividad legítima, permitiendo a los hackers tomar el control y silenciar el sonido durante su operación.
Con información personal y credenciales robadas, los atacantes pueden realizar transacciones fraudulentas de forma remota sin ser detectados.
El equipo de Threat Fabric Mobile Threat Intelligence identificó que el malware actualmente apunta a usuarios en Turquía y España, con expectativas de una difusión más amplia en el futuro. La investigación sugiere que los desarrolladores podrían hablar turco, dadas las anotaciones en el código, y podrían ser un actor de amenazas conocido como Sybra u otro hacker experimentando con nuevo software.
La aparición del troyano bancario móvil Crocodilus destaca un salto sustancial en la complejidad y el nivel de riesgo del malware contemporáneo. Sus capacidades para tomar el control del dispositivo, control remoto y aplicación de ataques de superposición negra indican un nivel de madurez raramente visto en amenazas recién descubiertas, concluye Threat Fabric.