Tecnología
Crocodilus: el nuevo malware que ciberdelincuentes utilizan para robar criptomonedas sin dejar rastro
Los ciberdelincuentes emplean pantallas negras y silencian los dispositivos con el fin de operar de manera sigilosa, eludiendo así cualquier posible alerta.
La firma de seguridad ThreatFabric ha emitido una advertencia sobre el troyano Crocodilus, una amenaza diseñada no solo para robar las credenciales de acceso a billeteras digitales, sino también para obtener la frase semilla y sustraer las criptomonedas de las víctimas sin que estas se percaten, mediante el uso de diversas técnicas avanzadas.
Crocodilus, un troyano bancario de reciente aparición, presenta un repertorio de características sofisticadas que le permiten infectar un dispositivo y tomar el control del mismo, con el objetivo de vaciar las cuentas bancarias y criptocarteras de las personas afectadas. Según se detalla en el blog oficial, esta amenaza está dirigida principalmente a usuarios en España y Turquía.
El troyano emplea un ‘dropper’, un tipo de software malicioso que se descarga en el dispositivo de la víctima y, una vez instalado, introduce el malware responsable de la infección. En este caso, Crocodilus es capaz de evadir las restricciones impuestas por Android desde la versión 13 en adelante.
Una vez instalado, solicita la habilitación del servicio de accesibilidad, argumentando que su funcionamiento depende de dicha autorización. Sin embargo, no se aclara cómo se lleva a cabo la infección, si mediante un enlace malicioso o a través de una aplicación fraudulenta. Tras obtener los permisos necesarios, el troyano accede a diversas funcionalidades que le permiten desbloquear la pantalla y navegar por el dispositivo.
También establece una conexión con un servidor de comando y control, desde el cual recibe instrucciones. A través de este canal, obtiene una lista de aplicaciones y las superposiciones con las que sustituye la interfaz legítima, con el fin de robar las credenciales de los usuarios.
Entre las capacidades avanzadas de la amenaza se encuentra la función de ‘keylogging’; gracias al acceso a las funciones de accesibilidad, el troyano puede monitorizar todos los eventos que ocurren en la pantalla y registrar cualquier modificación, como la introducción de una contraseña. De este modo, logra obtener las credenciales necesarias para acceder a las aplicaciones de criptocarteras.
Además, el troyano va un paso más allá al mostrar una pantalla emergente fraudulenta, que alerta a la víctima sobre la necesidad de realizar una copia de seguridad de la clave de la billetera en un plazo de 12 horas, con el fin de evitar la pérdida de acceso. De esta manera, Crocodilus no solo obtiene las credenciales de acceso al servicio, sino también la clave de recuperación de la billetera, conocida como la frase semilla.
Otra de las características destacadas es su capacidad para permitir que los ciberdelincuentes ejecuten acciones de forma remota sin que la víctima lo perciba. Para ello, el troyano utiliza una pantalla negra superpuesta que oculta las actividades y silencia el sonido del dispositivo, evitando así cualquier alerta.
Desde la fuente en mención, se advierte que el auge de nuevas amenazas como estas demuestra que los métodos tradicionales de detección basados en firmas ya no son suficientes. En este sentido, la empresa subraya que “las instituciones financieras deben adoptar un enfoque de seguridad por capas, que incluya un análisis exhaustivo de riesgos basado en el comportamiento y los dispositivos de sus clientes”.
*Con información de Europa Press
