Ataques dirigidos a usuarios españoles se han camuflado en una actualización de navegador web
Un número creciente de campañas maliciosas han aprovechado un troyano bancario para Android recientemente descubierto llamado Crocodilus para atacar a usuarios de Europa y Sudamérica.
El malware, según un nuevo informe publicado por ThreatFabric, también ha adoptado técnicas de ofuscación mejoradas para dificultar el análisis y la detección, e incluye la capacidad de crear nuevos contactos en la lista de contactos de la víctima.
"La reciente actividad revela múltiples campañas que ahora apuntan a países europeos mientras continúan las campañas turcas y se expanden globalmente a Sudamérica", dijo la compañía de seguridad holandesa.
Crocodilus se documentó públicamente por primera vez en marzo de 2025, atacando a usuarios de dispositivos Android en España y Turquía haciéndose pasar por aplicaciones legítimas como Google Chrome. El malware cuenta con la capacidad de lanzar ataques de superposición contra una lista de aplicaciones financieras obtenidas de un servidor externo para recopilar credenciales.
También abusa de los permisos de los servicios de accesibilidad para capturar frases semilla asociadas a billeteras de criptomonedas, que luego pueden usarse para drenar los activos virtuales almacenados en ellas.
Los últimos hallazgos de ThreatFabric demuestran una expansión del alcance geográfico del malware, así como un desarrollo continuo con mejoras y nuevas características, lo que indica que los operadores lo mantienen activamente.
Se ha descubierto que ciertas campañas dirigidas a Polonia utilizan falsos anuncios en Facebook como vector de distribución, imitando a bancos y plataformas de comercio electrónico. Estos anuncios incitan a las víctimas a descargar una aplicación para obtener supuestos puntos de bonificación. Los usuarios que intentan descargar la aplicación son redirigidos a un sitio malicioso que distribuye el dropper Crocodilus.
Otras oleadas de ataques dirigidos a usuarios españoles y turcos se han camuflado en una actualización de navegador web y un casino en línea. Argentina, Brasil, India, Indonesia y Estados Unidos se encuentran entre los países afectados por el malware.
Además de incorporar varias técnicas de ofuscación para complicar los esfuerzos de ingeniería inversa, las nuevas variantes de Crocodilus tienen la capacidad de agregar un contacto específico a la lista de contactos de la víctima al recibir el comando "TRU9MMRHBCRO".
Se sospecha que la función está diseñada como una contramedida a las nuevas protecciones de seguridad que Google ha introducido en Android que alertan a los usuarios de posibles estafas al iniciar aplicaciones bancarias durante una sesión de compartir pantalla con un contacto desconocido.
Creemos que la intención es añadir un número de teléfono con un nombre convincente, como 'Asistencia Bancaria', lo que permite al atacante llamar a la víctima con una apariencia legítima. Esto también podría eludir las medidas de prevención del fraude que detectan números desconocidos, afirmó ThreatFabric.
Otra característica nueva es un recopilador automatizado de frases semilla que utiliza un analizador para extraer frases semilla y claves privadas de billeteras de criptomonedas específicas.
"Las últimas campañas que involucran al troyano bancario Crocodilus para Android indican una evolución preocupante tanto en la sofisticación técnica del malware como en su alcance operativo", afirmó la compañía. "Cabe destacar que sus campañas ya no se limitan a una región; el malware ha extendido su alcance a nuevas áreas geográficas, lo que subraya su transformación en una amenaza verdaderamente global".
