MADRID, 31 Mar. (CIBERPRO) –
ThreatFabric, una empresa especializada en seguridad, ha alertado sobre el troyano Crocodilus, diseñado no solo para robar credenciales de acceso a billeteras, sino también para obtener la frase semilla y sustraer criptomonedas sin que la víctima se percate, utilizando diversas técnicas avanzadas.
Crocodilus es un nuevo troyano bancario que incorpora un conjunto de características modernas que le permiten comprometer un dispositivo y tomar el control para vaciar cuentas bancarias y criptocarteras. Según indican desde ThreatFabric en su blog oficial, este malware se dirige principalmente a usuarios en España y Turquía.
Para llevar a cabo su ataque, utiliza un ‘dropper’, un tipo de troyano que se instala en el equipo de la víctima para, posteriormente, cargar el ‘malware’ que ejecutará actividades maliciosas. En este caso, Crocodilus tiene la capacidad de evadir las restricciones de Android (a partir de la versión 13).
Una vez que se instala, Crocodilus solicita que se active el servicio de accesibilidad, argumentando que esto es necesario para su correcto funcionamiento. Sin embargo, no está claro cómo se produce la infección, ya sea a través de un enlace malicioso o mediante una aplicación engañosa. Una vez que se otorgan los permisos, el malware obtiene acceso a varias funciones que le permiten desbloquear la pantalla y navegar por el dispositivo.
Crocodilus también se conecta a un servidor de comando y control, desde el cual recibe instrucciones. Esto le permite obtener una lista de aplicaciones objetivo y sus superposiciones -la interfaz que sustituirá a la original- para robar las credenciales de los usuarios.
Entre sus funciones avanzadas destaca el ‘keylogging’; al acceder a las funciones de accesibilidad, puede monitorear todos los eventos en la pantalla y registrar los cambios, como la escritura de contraseñas. De este modo, consigue las credenciales de acceso a las aplicaciones de criptocarteras.
No obstante, su capacidad va más allá, ya que Crocodilus presenta una ventana emergente fraudulenta que advierte a la víctima de la necesidad de realizar una copia de seguridad de la clave de la billetera en un plazo de 12 horas para evitar la pérdida de acceso.
Así, obtiene no solo las credenciales de acceso al servicio -que ya había registrado mediante la superposición y los controles de accesibilidad-, sino también la clave de recuperación de la billetera, conocida como frase semilla.
Además, este troyano permite a los cibercriminales realizar acciones de forma remota sin que la víctima se percate, utilizando una pantalla negra superpuesta que oculta sus acciones y silenciando el sonido del dispositivo para no ser detectados.
«El surgimiento de nuevas amenazas como Crocodilus pone de manifiesto que los métodos tradicionales de detección basados en firmas ya no son suficientes», advierten desde ThreatFabric. Por ello, esta empresa sostiene que «las instituciones financieras deben implementar un enfoque de seguridad por capas, que incluya un análisis de riesgos exhaustivo basado en el comportamiento y los dispositivos de sus clientes».
