Crocodilus, el nuevo malware que ataca celulares Android y va tras tu dinero: cómo funciona

Un nuevo malware está afectando a los usuarios de Android, se trata de Crocodilus. Un troyano bancario móvil que ha afectado principalmente a España y Turquía y que fue descubierto por la firma de ciberseguridad ThreatFabric.

Este no apunta a ser un malware común. A diferencia de otros virus que pueden ser detectados por servicios de seguridad tradicionales como Google Play Protect, este troyano ha sido diseñado para eludir las defensas más avanzadas del sistema operativo Android. Aunque Google realiza esfuerzos continuos por reducir la cantidad de malware en su ecosistema, Crocodilus ha logrado sortear las restricciones de accesibilidad y los filtros de seguridad más estrictos.

Según los expertos, el malware se ha propagado principalmente a través de páginas web maliciosas, banners engañosos en redes sociales y mensajes SMS cargados de virus, lo que lo convierte en una amenaza difícil de detectar y, por tanto, de contener.

Al instalarse en un dispositivo, el malware pide a los usuarios que habiliten los Servicios de Accesibilidad, una función que, aunque pensada para ayudar a personas con discapacidades, ha sido utilizada de manera maliciosa por ciberdelincuentes.

Una vez obtenidos los permisos, el malware se conecta a un servidor de comando y control (C2) y comienza a recibir instrucciones, incluyendo las aplicaciones a atacar y las superposiciones de pantalla que se utilizarán para robar información sensible.

La principal motivación de los creadores de Crocodilus es el robo de datos financieros, especialmente las credenciales de acceso a las billeteras de criptomonedas. Este tipo de ataque se ha intensificado en los últimos años debido al creciente valor de las criptomonedas y su popularidad entre los inversores.

El virus está diseñado específicamente para obtener la frase semilla de los usuarios, una combinación de palabras aleatorias que sirve como clave para acceder a las billeteras digitales. La pérdida de esta frase semilla puede ser catastrófica, ya que permite a los atacantes vaciar por completo la cuenta del usuario en cuestión.

El malware emplea tácticas de ingeniería social para engañar a los usuarios y hacerles creer que deben realizar una acción urgente para proteger su billetera. Después de que una víctima ingresa su contraseña o PIN en una billetera digital, Crocodilus lanza una notificación falsa que insta a la persona a realizar una copia de seguridad de su clave dentro de las siguientes 12 horas.

Si no lo hacen, el malware advierte que la aplicación se reiniciará, lo que podría causar la pérdida del acceso a la billetera. Este engaño es suficientemente convincente como para que muchas personas caigan en la trampa, revelando su frase semilla y permitiendo a los atacantes acceder a sus fondos.

Aunque Crocodilus es relativamente nuevo, los primeros análisis de su código revelan algunas pistas sobre sus creadores. Se cree que este malware podría estar vinculado a “sybra”, un grupo conocido por su actividad en el desarrollo de otras variantes de malware como MetaDroid, Hook y Octo.

Pero por ahora, no se puede confirmar si “sybra” es el creador de este malware o si simplemente está utilizando esta herramienta, los rastros encontrados en el código apuntan a que el malware tiene raíces en Turquía.

El surgimiento de Crocodilus pone de manifiesto la necesidad de que tanto los usuarios como las instituciones financieras tomen medidas de seguridad más rigurosas. Las técnicas de detección basadas en firmas tradicionales ya no son suficientes para detener las amenazas modernas como esta.

Se recomienda que los usuarios de Android, especialmente aquellos que utilizan billeteras digitales, eviten instalar aplicaciones de fuentes no verificadas y sean cautelosos con los enlaces sospechosos o mensajes de texto que reciban.

Además, las instituciones financieras deben adoptar un enfoque de seguridad por capas, implementando sistemas avanzados de análisis de comportamiento y evaluación de riesgos en tiempo real para detectar posibles fraudes antes de que se materialicen. Solo con medidas de seguridad proactivas y actualizadas se podrá mitigar el impacto de amenazas como Crocodilus.