Crocodilus, el nuevo malware que se está haciendo con el control de móviles en España

Nuestros teléfonos móviles, por varios factores, se han convertido en los principales destinatarios y víctimas de los ciberataques. Su conexión casi permanente, su facilidad para conectarse a wifis abiertas, la cantidad de aplicaciones externas (y no siempre seguras) que contiene y la capacidad de abrir archivos de diferentes fuentes, constituyen todos puntos a favor de los ciberdelincuentes. Y la amenaza más reciente es Crocodilus.

Descubierto por la empresa de ciberseguridad ThreatFabric, Crocodilus entra en escena como una amenaza completa, equipada con técnicas modernas como control remoto, superposiciones de pantalla negra y recolección avanzada de datos mediante registro de accesibilidad.

“Durante las operaciones habituales de búsqueda de amenazas, nuestros analistas de inteligencia encontraron muestras nunca antes vistas”, explica un blog de ThreatFabric. El análisis reveló una familia de malware completamente nueva, a la que bautizaron Crocodilus “basándonos en las referencias dejadas por los desarrolladores, quienes la llaman Crocodile”.

A pesar de ser nueva, ya incluye todas las características necesarias del malware bancario moderno: ataques de superposición, registro de pulsaciones de teclas, acceso remoto y funciones de control remoto ocultas.

El modus operandi de Crocodilus es similar al que esperaríamos de un troyano bancario moderno de robo de dispositivos. La instalación inicial se realiza mediante un dropper (un malware que se caracteriza por contener un archivo que se puede abrir, como .doc o .exe) que elude las restricciones de Android 13 o superior.

Una vez instalado, Crocodilus solicita la habilitación del Servicio de Accesibilidad, se conecta al servidor de comando y control y comienza a recibir instrucciones, incluyendo la lista de aplicaciones objetivo. Se ejecuta continuamente, monitorizando el inicio de aplicaciones y es capaz de interceptar credenciales.

“Las campañas iniciales observadas por nuestro equipo de Inteligencia de Amenazas Móviles – explican los expertos - muestran objetivos principalmente en España y Turquía, junto con varias billeteras de criptomonedas. Prevemos que este alcance se ampliará globalmente a medida que el malware evolucione”.

A esto hay que sumarle que Crocodilus monitoriza todos los eventos de accesibilidad y captura todos los elementos que se muestran en la pantalla. De esta manera, registra eficazmente todos los cambios de texto realizados por la víctima, lo que lo convierte en un keylogger, pero sus capacidades van más allá del simple keylogger.

También puede activar la opción de captura de pantalla del contenido de la aplicación Google Authenticator, y esto también se realiza mediante las capacidades de registro de accesibilidad mencionadas anteriormente. Crocodilus enumera todos los elementos que se muestran en la pantalla de la aplicación Google Authenticator, captura el texto mostrado (el nombre del código OTP y su valor), lo que permite el robo de códigos OTP para los operadores de Crocodilus. ¿Básicamente? Ve todos los cambios de claves y autenticaciones en el móvil. Y envía los cambios a los ciberdelincuentes.

Con la información personal identificable (PII) y las credenciales robadas, los cibercriminales pueden tomar el control total del dispositivo de la víctima mediante el acceso remoto integrado y completar transacciones fraudulentas sin ser detectados.

Hay un detalle notable que hace de Crocodilus muy… “creativo”: una vez que la víctima proporciona una contraseña o PIN desde la aplicación, la superposición mostrará el mensaje "Realice una copia de seguridad de la clave de su billetera en la configuración dentro de 12 horas. De lo contrario, la aplicación se reiniciará y podría perder el acceso a su billetera".

Este truco de ingeniería social guía a la víctima a navegar hasta su frase semilla (clave de la billetera), lo que permite a Crocodilus recopilar el texto utilizando su registrador de accesibilidad. Con esta información, los atacantes pueden tomar el control total de la billetera y vaciarla por completo.

“La aparición deCrocodilus marca un avance significativo en la sofisticación y el nivel de amenaza que representa el malware moderno – concluye el informe -. Con sus avanzadas capacidades de robo de dispositivos, funciones de control remoto y el despliegue de ataques de superposición negra desde sus primeras iteraciones, Crocodilus demuestra un nivel de madurez poco común en amenazas recién descubiertas”.

¿Prevenciones? No conectarse automática a redes wifi públicas, no descargarse artchivos de fuentes desconocidas (y menos abrirlos) y confirmar que algún contacto nos ha enviado un documento.