Una amenaza silenciosa pero peligrosa se está deslizando a través del ecosistema de Android, y viene directamente a su criptografía. Un malware recientemente identificado conocido como Crocodilus está dirigido a usuarios de Android con un método de ataque sofisticado diseñado para robar credenciales de billetera de criptomonedas y tomar el control de dispositivos infectados. A pesar de ser una cara nueva en el mundo del malware, Crocodilus ya está demostrando ser un jugador formidable.
Los investigadores de seguridad de Amense Fabric descubrieron recientemente este troyano de banca móvil altamente capaz. Lo que hace que Crocodilus se destaque es su capacidad para evitar los protocolos de seguridad en Android 13 y más tarde, gracias a un gotero personalizado que evade mecanismos típicos de detección y restricción. Esto le permite ingresar dispositivos con una resistencia mínima y comenzar a ejecutar su plan.
Empaquetado con todas las características centrales del malware móvil moderno, Crocodilus está equipado con capacidades de ataque de superposición, herramientas de keylogging, funcionalidad de acceso remoto e incluso control completo del dispositivo sin el conocimiento del usuario. No es la primera vez que el malware persigue billeteras de criptomonedas, pero Crocodilus lleva el enfoque más allá. Según la tela de amenazas, la fuerza del malware radica en su capacidad para manipular a los usuarios para que renuncien voluntariamente a sus credenciales sin darse cuenta de lo que está sucediendo.
Funciona primero convenciendo al usuario para otorgar permisos de servicio de accesibilidad, a menudo bajo la apariencia de mejoras o actualizaciones de funcionalidad de la aplicación. Una vez hecho esto, el malware obtiene acceso profundo al dispositivo, lo que le permite monitorear e interactuar con la actividad del usuario. Luego se conecta a un servidor de comando y control para recibir instrucciones, como qué superposiciones falsas para usar para imitar aplicaciones legítimas.
Estas superposiciones están diseñadas para parecerse a la cosa real. Los usuarios piensan que están iniciando sesión en sus billeteras o aplicaciones, pero en realidad, están entregando datos confidenciales directamente a los atacantes. Crocodilus no solo se detiene en los nombres de usuario y las contraseñas. También omite la autenticación de dos factores, específicamente dirigida a Google Authenticator. Utilizando capacidades de acceso remoto, puede capturar capturas de pantalla de los códigos de autenticación a medida que aparecen en la pantalla, enviándolas nuevamente al servidor del atacante en tiempo real.
El malware ya se ha observado en países como España y Turquía, pero los investigadores creen que esto es solo el comienzo. Dado lo rápido que evolucionan este tipo de amenazas, se espera una propagación global más amplia. Lo que es especialmente preocupante son las tácticas psicológicas del malware. En lugar de forzar su camino hacia las billeteras, Crocodilus persuade a los usuarios para que lo hagan por ellos.
En uno de sus movimientos más engañosos, el malware presenta un mensaje falso que indica a los usuarios que respalden su frase de semillas de billetera, advirtiéndoles que la aplicación se restablecerá dentro de las 12 horas si no lo hacen. Es una forma sutil de urgencia que juega con el miedo a perder acceso. A medida que los usuarios siguen el aviso y navegan a su frase de semillas, Crocodilus registra cada interacción utilizando su registrador de accesibilidad. Esa frase semilla se envía silenciosamente al servidor del atacante, dándoles control total sobre la billetera.
Una vez en posesión de la frase de semillas, los atacantes pueden vaciar por completo la billetera sin forma de que el usuario recupere los fondos. Es esta combinación de capacidades técnicas e ingeniería social lo que hace que Crocodilus sea particularmente peligroso. Al guiar a los usuarios a través del mismo proceso que compromete su seguridad, el malware evita la detección al tiempo que maximiza su tasa de éxito.
Para cualquier persona que administre los activos de criptografía en un dispositivo Android, la aparición de Crocodilus es un fuerte recordatorio de cómo se ha vuelto la seguridad móvil crítica. El consejo tradicional de apegarse a las tiendas oficiales de aplicaciones ya no es suficiente. Los actores maliciosos están desarrollando formas más sofisticadas para distribuir malware, a menudo a través de aplicaciones que parecen completamente legítimas hasta que es demasiado tarde.
Evitar las subvenciones de permiso innecesarias, especialmente los servicios de accesibilidad, puede contribuir en gran medida a prevenir este tipo de ataques. También puede usar billeteras de hardware, que mantienen las llaves privadas fuera de su teléfono por completo. Con un malware como Crocodilus evolucionando rápidamente, mantenerse por delante de la curva significa adoptar una mentalidad de seguridad proactiva.
El aumento de los ataques móviles dirigidos a los titulares de criptografía muestra que la creciente adopción de la industria también está atrayendo una amplia gama de amenazas cibernéticas. A medida que más personas recurren a billeteras no custodiales y herramientas financieras descentralizadas, proteger los activos digitales se convierte en no solo una cuestión de conveniencia, sino de supervivencia en un mundo digital primero.
