Puntos clave de la noticia:
-
Crocodilus es un malware para Android que roba credenciales de wallets cripto mediante ingeniería social y técnicas avanzadas.
-
Utiliza un dropper personalizado para evadir restricciones y obtiene control del sistema con permisos de accesibilidad.
-
Puede interceptar claves, evadir 2FA y engañar a usuarios para que revelen su frase semilla, permitiendo el robo de fondos.
Un nuevo malware dirigido a dispositivos Android ha sido identificado por investigadores en ciberseguridad. Bautizado como Crocodilus, este software malicioso apunta a usuarios de wallets de criptomonedas mediante tácticas de ingeniería social y técnicas avanzadas de intrusión.
Su método de distribución emplea un dropper personalizado que le permite sortear las restricciones de Android 13+, facilitando su instalación sin que la víctima sospeche. Una vez en el dispositivo, solicita acceso al Servicio de Accesibilidad, lo que le otorga control sobre diversas funciones del sistema.
Crocodilus: ¿Cómo Funciona?
El malware puede ejecutar ataques de superposición para interceptar credenciales, registrar pulsaciones del teclado y activar un acceso remoto encubierto. También se conecta a un servidor de comando y control, desde donde recibe instrucciones en tiempo real para desplegar sus ataques. Aunque inicialmente se detectó en España y Turquía, los expertos advierten que su alcance podría expandirse a otras regiones conforme evoluciona su desarrollo.
Además de interceptar credenciales bancarias, Crocodilus puede burlar la autenticación de dos factores capturando pantallas de la aplicación Google Authenticator. Este método permite a los atacantes acceder a cuentas protegidas sin necesidad de comprometer directamente el dispositivo de la víctima.
Sin embargo, lo que lo hace especialmente peligroso es su estrategia para obtener las frases semilla de las wallets cripto. En lugar de extraerlas directamente, engaña a los usuarios con un mensaje de alerta que los insta a realizar una copia de seguridad manual de sus claves en un plazo de 12 horas. Si la víctima sigue la instrucción, el malware registra el contenido mediante su sistema de registro de accesibilidad y lo envía a los atacantes.
Precauciones Ante la Proliferación de Malware Avanzado
Una vez que los operadores del malware obtienen la frase semilla, pueden restaurar la wallet en otro dispositivo y vaciar los fondos sin dejar rastro alguno. Este enfoque evita la detección por parte de sistemas de seguridad tradicionales y permite que los ataques se ejecuten sin levantar sospechas inmediatas.
El descubrimiento de Crocodilus demuestra la creciente sofisticación de las amenazas dirigidas al sector cripto y la necesidad de medidas de protección más robustas. Mantener el software actualizado, verificar la legitimidad de las aplicaciones instaladas y evitar compartir información sensible en entornos no seguros sigue siendo fundamental para reducir el riesgo de ataques de este tipo.