Detectan un nuevo virus secuestrador de móviles y descubren que España está en su punto de mira

Está empezando a expandirse una nueva amenaza para móviles Android conocida como Crocodilus, a través de la cual los hackers pueden hacerse con el control del dispositivo y vaciar las billeteras virtuales de criptomonedas. Así lo ha compartido la empresa de ciberseguridad Threat Fabric, avisando de esta nueva modalidad de fraude que roba fácilmente datos confidenciales de los usuarios. Y es que a diferencia de otros malware más básicos, Crocodilus recurre a ataques de superposición para engañar a los usuarios para que revelen sus datos criptográficos, credenciales bancarias y otra información sensible.

Así actúa la nueva amenaza Crocodilus en Android

Una vez Crocodilus se hace con el control de un dispositivo Android, puede ejecutar fácilmente transacciones fraudulentas sin ser detectado. Su forma de actuar revela que no se trata de una variante más de malware, sino que es un troyano bancario muy peligroso y complejo. Tanto es así, que Crocodilus demuestra una gran capacidad para seguir rastros criptográficos a través de ingeniería social.

Así, cuando una víctima introduce el PIN de su billetera, el malware muestra el siguiente mensaje de advertencia falso: “Realice una copia de seguridad de la clave de su billetera en la configuración dentro de 12 horas. De lo contrario, la aplicación se reiniciará y podría perder el acceso a su billetera”. Dicho mensaje incita al usuario ha compartir sus datos de acceso sin saberlo, exponiéndose al malware y perdiendo el control de su dispositivo.

Una vez los atacantes tienen acceso a la billetera de la víctima, pueden borrar por completo los activos sin dejar opción a recuperación alguna. Esta efectiva táctica de manipulación convierte a Crocodilus en una amenaza particularmente grave para los poseedores de criptomonedas, ya que apunta al elemento de seguridad más vital de cualquier billetera.

Cómo funciona Crocodilus

Crocodilus se instala mediante apps “cuentagotas”, que permiten a eludir las restricciones de seguridad de Android 13 en adelante. Una vez dentro de un dispositivo, Crocodilus solicita inmediatamente permisos del Servicio de Accesibilidad, otorgándole control sobre las funciones del sistema. Luego, el malware establece una conexión con su servidor de comando y control, que proporciona una lista de aplicaciones bancarias y de criptomonedas específicas y superposiciones utilizadas para engañar a los usuarios. “Se ejecuta continuamente, monitoreando el lanzamiento de aplicaciones y mostrando superposiciones para interceptar credenciales”, aseguran desde Threat Fabric.

Para ello, recurre a pantallas de inicios falsas que pueden pasar por el interfaz de cualquier entidad bancaria, donde recoge los datos de acceso de las víctimas como credenciales bancarias, PIN de billeteras de criptomonedas , claves privadas y contraseñas de un solo uso (OTP). Además, se ha detectado que las primeras campañas fueron dirigidas a usuarios en España y Turquía, aunque los expertos predicen una expansión global a medida que el malware evolucione.

Aunque Crocodilus va incluso más allá; también funciona como un keylogger, aunque en lugar de simplemente capturar pulsaciones de teclas, funciona como un grabador de accesibilidad, rastreando toda la actividad en pantalla y capturando elementos de la interfaz de usuario de aplicaciones bancarias y de autenticación. Esto permite a los delincuentes eludir las protecciones de AMF sin necesidad de acceso físico al dispositivo de la víctima. Todo un caballo ganador para los ciberdelincuentes.

Sigue el canal de MeriStation en Twitter. Tu web de videojuegos y de entretenimiento, para conocer todas las noticias, novedades y última hora sobre el mundo del videojuego, cine, series, manga y anime. Avances, análisis, entrevistas, tráileres, gameplays, podcasts y mucho más. ¡Suscríbete! Si estás interesado en licenciar este contenido, pincha aquí.