Crocodilus, un nuevo malware Android de robo de criptomonedas

Endpoint

02 ABR 2025

Integra ingeniería social para hacer que las víctimas proporcionen acceso a su frase semilla de billetera criptográfica. Con esta información, los atacantes pueden tomar el control total de la billetera y vaciarla por completo. Crocodilus parece tener un objetivo limitado a España y Turquía en este momento.

Un malware de Android recién descubierto, denominado Crocodilus, engaña a los usuarios para que proporcionen la frase semilla de la billetera de criptomonedas mediante una advertencia para hacer una copia de seguridad de la clave y evitar perder el acceso. Aunque Crocodilus es un nuevo malware bancario, cuenta con capacidades completamente desarrolladas para tomar el control remoto del dispositivo y recolectar datos.

Los investigadores de ThreatFabric dicen que el malware se distribuye a través de un dropper propietario que elude las protecciones de seguridad de Android 13 (y versiones posteriores). El dropper instala el malware sin activar Play Protect y, al mismo tiempo, elude las restricciones del Servicio de Accesibilidad. Cuando la víctima abre una aplicación bancaria o de criptomonedas específica, Crocodilus carga una superposición falsa sobre la aplicación real para interceptar las credenciales de la cuenta de la víctima.

Lo que hace especial a Crocodilus es que integra ingeniería social para hacer que las víctimas proporcionen acceso a su frase semilla de billetera criptográfica. Lo logra a través de una superposición de pantalla que advierte a los usuarios que "hagan una copia de seguridad de su clave de billetera en la configuración dentro de las 12 horas" o se arriesguen a perder el acceso a su billetera, lo que permite a Crocodilus recolectar el texto usando su registrador de accesibilidad. Con esta información, los atacantes pueden tomar el control total de la billetera y vaciarla por completo, dicen los investigadores.

Mientras ejecutan estas acciones, los operadores de Crocodilus pueden activar una superposición de pantalla negra y silenciar el dispositivo para ocultar la actividad de la víctima y hacer que parezca que el dispositivo está bloqueado.

En sus primeras operaciones, se observó que Crocodilus se dirigía a usuarios de Turquía y España, incluidas cuentas bancarias de esos dos países. A juzgar por los mensajes, parece que el malware es de origen turco.

No está claro cómo se produce la infección inicial, pero por lo general, se engaña a las víctimas para que descarguen droppers a través de sitios maliciosos, promociones falsas en redes sociales o SMS y tiendas de aplicaciones de terceros.