Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Malware móvil Troyano bancario Crocodilus

Troyano bancario Crocodilus

Por Mezo en Malware móvil, Troyano bancario
Traducir a:
Español

Expertos en ciberseguridad han descubierto un nuevo malware bancario para Android llamado Crocodilus, que ataca principalmente a usuarios de España y Turquía. A diferencia de muchas amenazas emergentes que comienzan como versiones rudimentarias de malware existente, Crocodilus se introduce en el panorama del cibercrimen como un troyano bancario sofisticado y completamente desarrollado.

Técnicas avanzadas para el máximo daño

Crocodilus emplea técnicas modernas como:

  • Capacidades de control remoto
  • Superposiciones de pantalla negra para ocultar su presencia.
  • Recopilación avanzada de datos mediante el registro de accesibilidad

Al igual que otros troyanos bancarios, su objetivo es apoderarse de un dispositivo (DTO) y permitir a los ciberdelincuentes realizar transacciones fraudulentas. Un análisis más profundo de su código fuente y mensajes de depuración sugiere que el autor del malware habla turco.

Disfrazado de Google Chrome para evadir la detección

Crocodilus está diseñado para eludir las restricciones de seguridad de Android 13 o superior haciéndose pasar por Google Chrome (nombre del paquete: 'quizzical.washbowl.calamity'). Una vez instalada, la aplicación falsa solicita permisos del servicio de accesibilidad, lo que le otorga control total sobre el dispositivo.

Al activarse, se conecta a un servidor remoto de comando y control (C2) para:

  • Recibir más instrucciones
  • Obtener la lista de aplicaciones financieras específicas
  • Implementar superposiciones HTML para robar credenciales de usuario

Las billeteras de criptomonedas en la mira

Crocodilus no se limita a las aplicaciones bancarias, sino que también ataca las billeteras de criptomonedas. En lugar de usar una página de inicio de sesión falsa, engaña a las víctimas con una alerta de copia de seguridad fraudulenta, advirtiéndoles que guarden su frase semilla en un plazo de 12 horas o se arriesgan a perder sus activos.

Esta táctica de ingeniería social manipula a las víctimas para que accedan a sus frases semilla, que luego se obtienen mediante el abuso del servicio de accesibilidad. Con esta información, los atacantes pueden tomar el control de la billetera y vaciar sus fondos.

Monitoreo continuo y robo de credenciales

Crocodilus está diseñado para ejecutarse persistentemente en segundo plano, vigilando de cerca el inicio de aplicaciones y activando superposiciones para interceptar credenciales. Puede:

  • Supervisar todos los eventos de accesibilidad
  • Captura todos los elementos que se muestran en la pantalla
  • Tome capturas de pantalla de Google Authenticator para omitir la autenticación de dos factores

Al hacerlo, Crocodilus garantiza que sus operadores no detecten ninguna actividad de inicio de sesión.

Modo sigiloso: ocultación de actividades dañinas

Para pasar desapercibido, Crocodilus emplea diversas tácticas de sigilo, entre ellas:

  • Mostrar una superposición de pantalla negra para ocultar actividades no autorizadas
  • Silenciar sonidos para evitar que las víctimas escuchen alertas sospechosas

Estas medidas hacen que sea mucho más difícil para las víctimas darse cuenta de que sus dispositivos han sido comprometidos.

Un poderoso arsenal de características dañinas

Crocodilus está diseñado con diversas capacidades amenazantes que le permiten tomar el control total de un dispositivo infectado. Puede ejecutar aplicaciones específicas, eliminarse del dispositivo para evitar ser detectado y enviar notificaciones push para manipular el comportamiento del usuario. El malware también puede enviar mensajes SMS a contactos seleccionados o a todos, recuperar listas de contactos y obtener una lista de aplicaciones instaladas, lo que proporciona a los atacantes una visión completa de la huella digital de la víctima.

Además, Crocodilus puede leer mensajes SMS, solicitar privilegios de administrador de dispositivos para obtener un control más profundo y activar un modo de superposición negra para ocultar sus actividades peligrosas. Actualiza periódicamente la configuración de su servidor de Comando y Control (C2), lo que garantiza su adaptación y respuesta a las nuevas instrucciones de sus operadores. Para optimizar sus operaciones sigilosas, puede activar o desactivar el sonido, activar o desactivar el registro de teclas para capturar las entradas del usuario e incluso convertirse en el administrador de SMS predeterminado, lo que le permite interceptar y manipular las comunicaciones sin ser detectado.

Crocodilus: una nueva amenaza para la banca móvil

La aparición de Crocodilus marca una escalada peligrosa en la sofisticación del malware para banca móvil. A diferencia de muchas amenazas recién descubiertas, Crocodilus es una amenaza consolidada desde el principio, que aprovecha técnicas avanzadas de robo de dispositivos, funciones de control remoto y ataques de superposición negra para comprometer a los usuarios.

Con su ejecución sigilosa y su sólido conjunto de características, este malware establece un nuevo precedente para las amenazas bancarias de Android, lo que demuestra que los ciberdelincuentes están mejorando constantemente sus tácticas para mantenerse a la vanguardia de las medidas de seguridad.

 

Tendencias

Mas Visto

Cargando...