Crocodilus: Un malware avanzado para Android toma el control remoto de tus aplicaciones bancarias

Un nuevo malware para Android conocido como Crocodilus ha surgido y está causando revuelo en el mundo de la ciberseguridad.

Crocodilus manipula a sus víctimas con falsas indicaciones de respaldo de billetera para robar frases semilla.

A diferencia de otras amenazas bancarias móviles como Anatsa y Octo que evolucionaron gradualmente, Crocodilus es una amenaza altamente sofisticada desde el principio. Este malware fue descubierto por investigadores de ThreatFabric durante sus controles rutinarios, y lo describieron como un avance significativo en el malware móvil.

Los investigadores dicen que Crocodilus funciona como un troyano de “toma de control del dispositivo”, lo que significa que los atacantes pueden tomar el control de los dispositivos Android infectados a distancia.

El malware utiliza diversas técnicas para privar a las víctimas de su información, incluyendo ataques de superposición, registro de teclas e incluso utilizando los Servicios de Accesibilidad de Android para registrar las actividades del usuario. Este tipo de malware se utiliza principalmente para robar las credenciales de cuentas bancarias y de criptomonedas.

Una vez instalado en el teléfono de la víctima, el malware solicita permiso para acceder a los servicios de accesibilidad del teléfono. Luego, el malware establece una conexión con un servidor remoto para recibir instrucciones adicionales y una lista de aplicaciones a las que apuntar.

Como consecuencia, desarrolla páginas de inicio de sesión falsas conocidas como superposiciones que se colocan encima de las aplicaciones bancarias y de criptomonedas reales, con el objetivo de robar las credenciales de inicio de sesión de los usuarios. ThreatFabric explica que estos ataques se han observado principalmente en España y Turquía, pero esperan que el malware se propague a nivel mundial.

Lo que diferencia a Crocodilus de otros malwares es que puede recopilar información que no se limita a las contraseñas. Esta característica se llama “Registro de Accesibilidad” y captura todo lo que se muestra en la pantalla del teléfono, incluyendo los OTPs de aplicaciones como Google Authenticator.

Esto hace posible que los atacantes obtengan información sensible, incluyendo el nombre y el valor de los OTPs que se necesitan para asegurar las transacciones.

El malware también tiene un “modo oculto” donde el malware muestra una superposición de pantalla negra en el dispositivo para que las acciones de los atacantes no puedan ser vistas. También silencia los sonidos en el dispositivo para que las transacciones fraudulentas pasen desapercibidas. Los investigadores indican que esto dificulta mucho que las víctimas se den cuenta de que sus dispositivos están siendo comprometidos.

Crocodilus no solo es para aplicaciones financieras, también funciona con carteras de criptomonedas. Cuando obtiene las credenciales de inicio de sesión, el malware empleará tácticas de ingeniería social para pedir a las víctimas que revelen la frase semilla de su cartera.

Por ejemplo, aparece una notificación falsa que le dice al usuario que haga una copia de seguridad de la clave de la cartera en las próximas 12 horas o de lo contrario se quedarán bloqueados. Cuando la víctima cumple con la solicitud, Crocodilus roba la frase semilla y le entrega al atacante las llaves de la cartera, que luego pueden vaciar.

A primera vista, parece que el código del malware está conectado a un conocido grupo cibernético de habla turca, pero el vínculo no está confirmado.

Dado que las amenazas móviles están siempre en aumento, es evidente que malwares como Crocodilus son una clara indicación de cuán avanzados pueden ser. Con su capacidad para tomar el control de los dispositivos, también es una herramienta sofisticada de recolección de datos y puede trabajar en segundo plano, lo que lo convierte en una amenaza que debe ser tomada en serio.

Las instituciones financieras y las plataformas de criptomonedas deben mejorar sus medidas de seguridad para poder contrarrestar este tipo de ataques tan sofisticados.