Alerta Android: Descubren a Crocodilus, el malware que te engaña para robar tu frase semilla

Estándar

El ecosistema Android se enfrenta a una nueva y sofisticada amenaza: Crocodilus. Este malware recientemente descubierto no es un troyano bancario común; combina capacidades avanzadas de control remoto y recolección de datos con una astuta táctica de ingeniería social diseñada específicamente para robar las claves de billeteras de criptomonedas.

Detectado por los investigadores de ThreatFabric, Crocodilus se distingue por su método de distribución. Utiliza un dropper propietario capaz de eludir las protecciones de seguridad implementadas en Android 13 y versiones posteriores. Esto significa que puede instalarse sin activar las alertas de Play Protect y crucialmente, sortear las restricciones impuestas al Servicio de Accesibilidad, una puerta de entrada clave para sus operaciones maliciosas.

Aunque no está del todo claro cómo se produce la infección inicial, las vías habituales como sitios web maliciosos, promociones falsas en redes sociales o SMS, y tiendas de aplicaciones de terceros son los sospechosos habituales.

La Táctica Maestra: Ingeniería Social para Robar tu Frase Semilla

Lo que hace particularmente peligroso a Crocodilus es su enfoque en las criptomonedas mediante la ingeniería social. En lugar de simplemente buscar credenciales, engaña activamente al usuario. Muestra una pantalla superpuesta que simula ser una advertencia legítima, instando a la víctima a hacer una copia de seguridad de la clave de su billetera en la configuración dentro de las próximas 12 horas para evitar perder el acceso.

Este truco guía al usuario directamente a la sección donde visualiza su frase semilla (la clave maestra de la billetera de criptomonedas). En ese momento, Crocodilus, aprovechando los permisos del Servicio de Accesibilidad que logró obtener, registra silenciosamente esta frase utilizando su «Accessibility Logger». Con esta información, los atacantes obtienen control total sobre la billetera y pueden vaciarla por completo.

Un malware que va más allá de las Criptomonedas.

Crocodilus no se limita a robar tus criptomonedas. Es un troyano bancario en toda regla y cuenta con capacidades avanzadas:

  • Robo de Credenciales Bancarias: Cuando el usuario abre una aplicación bancaria o de criptomonedas objetivo, Crocodilus superpone una pantalla de inicio de sesión falsa para interceptar el usuario y la contraseña.
  • Control Remoto (RAT): Los operadores pueden interactuar con el dispositivo de forma remota: tocar la pantalla, navegar por la interfaz, realizar gestos de deslizamiento, etc.
  • Capacidades de Bot: Ejecuta hasta 23 comandos diferentes, incluyendo reenviar llamadas, enviar SMS masivos, obtener mensajes SMS, solicitar privilegios de administrador, bloquear la pantalla, e incluso establecerse como la aplicación de SMS predeterminada.
  • Bypass de 2FA: Incluye un comando específico para realizar capturas de pantalla de la aplicación Google Authenticator, robando los códigos de un solo uso (OTP) necesarios para la autenticación de dos factores.
  • Modo Sigiloso: Para ocultar sus acciones, puede activar una superposición de pantalla negra y silenciar el dispositivo, haciendo parecer que el teléfono está apagado o bloqueado mientras opera en segundo plano.

Objetivos Actuales y Origen

Las primeras campañas observadas de Crocodilus se han centrado en usuarios en Turquía y España, apuntando a cuentas bancarias de ambos países. Curiosamente, los mensajes de depuración encontrados en el código sugieren un posible origen turco del malware. Sin embargo, la naturaleza de estas amenazas sugiere que su expansión a otras regiones y la adición de nuevas aplicaciones a su lista de objetivos es solo cuestión de tiempo.

¿Cómo Protegerte de Crocodilus y Amenazas Similares?

  • Descarga solo de Fuentes Oficiales: Evita instalar aplicaciones (archivos APK) desde fuera de Google Play Store.
  • Mantén Play Protect Activo: Asegúrate de que la protección integrada de Google Play esté siempre habilitada en tu dispositivo.
  • Desconfía de las Solicitudes de Accesibilidad: Sé extremadamente cauteloso si una aplicación que no está diseñada para asistir a usuarios con discapacidades te pide activar los Servicios de Accesibilidad.
  • No Confíes en Advertencias Urgentes: Desconfía de mensajes o pop-ups que te presionen a realizar acciones de seguridad de forma inmediata, especialmente si te piden revelar información sensible como tu frase semilla.
  • Verifica los Permisos: Revisa periódicamente los permisos otorgados a tus aplicaciones.

En conclusión Crocodilus es un claro ejemplo de cómo los ciberdelincuentes refinan constantemente sus tácticas, combinando malware sofisticado con engaños psicológicos. Proteger nuestros activos digitales, ya sean bancarios o criptomonedas, requiere una actitud proactiva y una saludable dosis de escepticismo ante solicitudes inesperadas en nuestros dispositivos móviles.