Investigadores en ciberseguridad han descubierto un nuevo malware bancario para Android, denominado Crocodilus, que está diseñado principalmente para atacar a usuarios en España y Turquía.

Según ThreatFabric, “Crocodilus no es solo un clon, sino una amenaza seria desde el inicio, equipada con técnicas avanzadas como control remoto, superposiciones de pantalla negra y recopilación de datos a través del registro de accesibilidad”.

Como otros troyanos bancarios, este malware está hecho para facilitar la toma de control de dispositivos (DTO) y realizar transacciones fraudulentas. Un análisis del código y los mensajes de depuración revela que el creador del malware es de habla turca.

Los artefactos de Crocodilus analizados por una empresa holandesa de seguridad móvil se hacen pasar por Google Chrome (con el nombre del paquete “quizzical.washbowl.calamity”), lo que les permite eludir las restricciones de Android 13+.

Una vez instalado y ejecutado, el malware solicita permisos para los servicios de accesibilidad de Android y se conecta a un servidor remoto para recibir instrucciones adicionales, la lista de aplicaciones financieras a atacar y las superposiciones HTML para robar credenciales.

Crocodilus también puede apuntar a billeteras de criptomonedas mediante una superposición que, en lugar de mostrar una página de inicio de sesión falsa para capturar datos, presenta un mensaje que advierte a las víctimas sobre la necesidad de respaldar sus frases semilla dentro de los 12 días. De lo contrario, arriesgan perder el acceso a sus billeteras. Este engaño social es una táctica para dirigir a las víctimas a ingresar sus frases semilla, las cuales luego son robadas a través del abuso de los servicios de accesibilidad, lo que permite a los atacantes tomar el control total de las billeteras y vaciar los fondos.

“El malware se ejecuta constantemente, monitoreando el inicio de aplicaciones y mostrando superposiciones para interceptar credenciales”, declaró ThreatFabric. “Monitorea todos los eventos de accesibilidad y captura todo lo que se muestra en la pantalla”.

Esto permite al malware registrar todas las actividades realizadas en la pantalla y realizar capturas de pantalla del contenido de la aplicación Google Authenticator.

Otra característica de Crocodilus es su habilidad para ocultar sus acciones maliciosas al mostrar una superposición de pantalla negra y silenciar los sonidos, lo que asegura que sus actividades pasen desapercibidas por las víctimas.

A continuación se enumeran algunas de las características clave del malware:

• Iniciar aplicaciones específicas
• Eliminación automática del dispositivo
• Enviar notificaciones push
• Enviar mensajes SMS a todos o a contactos seleccionados
• Recuperar listas de contactos
• Obtener una lista de aplicaciones instaladas
• Recibir mensajes SMS
• Solicitar privilegios de administrador del dispositivo
• Activar superposición de pantalla negra
• Actualizar la configuración del servidor C2
• Habilitar/deshabilitar sonidos
• Activar/deshabilitar el registro de teclas
• Convertirse en el gestor de SMS predeterminado

Según ThreatFabric, “La aparición de Crocodilus marca un aumento significativo en la sofisticación y el nivel de amenaza del malware moderno”.

Con sus avanzadas capacidades para tomar control de dispositivos, funciones de control remoto y ataques de superposición negra desde sus primeras versiones, Crocodilus demuestra un nivel de madurez poco común en las amenazas recién descubiertas.

Este desarrollo se produce después de que Forcepoint revelara detalles de una campaña de phishing con temática fiscal que distribuía el troyano bancario Grandoreiro a usuarios de Windows en México, Argentina y España, mediante un script de Visual Basic ofuscado.