El
troyano bancario para Android Crocodilus
ha lanzado nuevas campañas dirigidas a usuarios de criptomonedas y clientes
bancarios en Europa y Sudamérica.
Detectado por
primera vez en marzo de 2025, las primeras muestras de Crocodilus se limitaron en gran medida a Turquía,
donde el malware se hacía pasar por aplicaciones de casinos en línea o
aplicaciones bancarias falsificadas para robar credenciales de inicio de
sesión.
Las campañas recientes muestran que ahora está atacando objetivos en Polonia,
España, Argentina, Brasil, Indonesia, India y Estados Unidos, según las conclusiones de ThreatFabric.
Una campaña dirigida a usuarios polacos utilizó anuncios de Facebook para
promocionar aplicaciones de fidelización falsas. Al hacer clic en el anuncio,
los usuarios eran redirigidos a sitios maliciosos, donde se les instalaba un
dropper de Crocodilus, que elude las restricciones de Android 13+.
Los datos de transparencia de Facebook revelaron que estos anuncios llegaron a
miles de usuarios en solo una o dos horas, centrándose en el público mayor de
35 años.
Crocodilus se centra en aplicaciones bancarias y de criptomonedas
Una vez instalado, Crocodilus superpone páginas de inicio de sesión falsas
sobre aplicaciones bancarias y cripto legítimas.
En España, se hizo pasar por una actualización del navegador y atacó a casi
todos los principales bancos.
Más allá de su expansión geográfica, Crocodilus ha añadido nuevas capacidades.
Una mejora notable es la capacidad de modificar las listas de contactos de los
dispositivos infectados, lo que permite a los atacantes insertar números de
teléfono etiquetados como «Soporte bancario», que podrían utilizarse para
ataques de ingeniería social.
Otra mejora clave es un recolector automático de frases semilla dirigido a
billeteras de criptomonedas.
El malware Crocodilus ahora puede extraer frases semilla y claves privadas con
mayor precisión, proporcionando a los atacantes datos preprocesados para tomar
el control de las cuentas rápidamente.
Mientras tanto, los desarrolladores han reforzado las defensas de Crocodilus
mediante una ofuscación más profunda. La última variante cuenta con código
empaquetado, cifrado XOR adicional y una lógica intencionadamente enrevesada
para resistir la ingeniería inversa.
Los analistas de MTI también observaron campañas más pequeñas dirigidas a
aplicaciones de minería de criptomonedas y bancos digitales europeos.
«Al igual que su predecesor, la nueva variante de Crocodilus presta mucha
atención a las aplicaciones de billeteras de criptomonedas. Esta variante
estaba equipada con un analizador sintáctico adicional, que ayudaba a
extraer frases semilla y claves privadas de billeteras específicas».
Los «crypto drainers» se venden como malware
En un informe del 22 de abril, la empresa de análisis forense y cumplimiento
normativo en materia de criptomonedas AMLBot reveló que los «crypto drainers»,
programas maliciosos diseñados para robar criptomonedas, se han vuelto más
fáciles de acceder a medida que el ecosistema evoluciona hacia un modelo de
negocio de software como servicio.
El informe reveló que los propagadores de malware pueden alquilar un drainer
por tan solo 100-300 USDt (USDT).
El 19 de mayo se reveló que el fabricante chino de impresoras Procolored había
distribuido malware para robar bitcoins junto con sus controladores oficiales.
Fuente:
THN