Denominado Crocodilus, está diseñado para atacar principalmente a usuarios en España y Turquía
Investigadores de ciberseguridad han descubierto un nuevo malware bancario para Android llamado Crocodilus que está diseñado para atacar principalmente a usuarios en España y Turquía.
"Crocodilus entra en escena no como un simple clon, sino como una amenaza completa desde el principio, equipada con modernas técnicas como control remoto, superposiciones de pantalla negra y recolección avanzada de datos mediante registro de accesibilidad", afirmó ThreatFabric.
Al igual que otros troyanos bancarios de su tipo, este malware está diseñado para facilitar la apropiación indebida de dispositivos (DTO por sus singlas en inglés) y, en última instancia, realizar transacciones fraudulentas. Un análisis del código fuente y los mensajes de depuración revela que el autor del malware habla turco.
Los artefactos Crocodilus analizados por la empresa holandesa de seguridad móvil se hacen pasar por Google Chrome (nombre del paquete: "quizzical.washbowl.calamity"), que actúa como un cuentagotas capaz de eludir las restricciones de Android 13+.
Una vez instalada y ejecutada, la aplicación solicita permiso a los servicios de accesibilidad de Android, tras lo cual se establece contacto con un servidor remoto para recibir más instrucciones, la lista de aplicaciones financieras a atacar y las superposiciones HTML que se utilizarán para robar credenciales.
Crocodilus también es capaz de apuntar a billeteras de criptomonedas con una superposición que, en lugar de mostrar una falsa página de inicio de sesión para capturar información de inicio de sesión, muestra un mensaje de alerta que insta a las víctimas a hacer una copia de seguridad de sus frases semilla dentro de los 12 días, o de lo contrario corren el riesgo de perder el acceso a sus billeteras.
Este truco de ingeniería social no es más que una estratagema por parte de los actores de amenazas para guiar a las víctimas a navegar hacia sus frases semilla, que luego se cosechan mediante el abuso de los servicios de accesibilidad, lo que les permite obtener el control total de las billeteras y drenar los activos.
"Se ejecuta continuamente, monitoreando el inicio de aplicaciones y mostrando superposiciones para interceptar credenciales", afirmó ThreatFabric. "El malware monitorea todos los eventos de accesibilidad y captura todos los elementos que se muestran en la pantalla".
Esto permite que el malware registre todas las actividades realizadas por las víctimas en la pantalla, así como activar una captura de pantalla del contenido de la aplicación Google Authenticator.
Otra característica de Crocodilus es su capacidad de ocultar las acciones maliciosas en el dispositivo mostrando una superposición de pantalla negra, además de silenciar los sonidos, garantizando así que pasen desapercibidos para las víctimas.
"La aparición del troyano bancario móvil Crocodilus marca un aumento significativo en la sofisticación y el nivel de amenaza que plantea el malware moderno", afirmó ThreatFabric.
"Con sus avanzadas capacidades de toma de control de dispositivos, funciones de control remoto y el despliegue de ataques de superposición negra desde sus primeras iteraciones, Crocodilus demuestra un nivel de madurez poco común en las amenazas recién descubiertas".
El desarrollo surge luego de que Forcepoint revelara detalles de una campaña de phishing que empleaba señuelos con temática fiscal para distribuir el troyano bancario Grandoreiro dirigido a usuarios de Windows en México, Argentina y España por medio de un script de Visual Basic ofuscado.
