Malware Cocodrilus roba claves de las billeteras de criptomonedas en Android
Un malware recién descubierto para Android, de nombre “Crocodilus” ha estado engañando a los usuarios para que proporcionen la frase semilla de su billetera de criptomonedas por medio de una advertencia para hacer una copia de seguridad de la clave y evitar perder el acceso.
Aunque Crocodilus es un nuevo malware bancario, presenta capacidades desarrolladas para tomar el control de los dispositivos, recopilar datos y control remoto. Es así como investigadores de una empresa de prevención de fraudes afirman que el malware se distribuye por medio de un dropper propietario que elude las protecciones de seguridad de Android 12 y versiones posteriores.
El dropper instala el malware sin activar Play Protect, al mismo tiempo que elude las restricciones del Servicio de Accesibilidad. Lo que hace especial a Crocodilus es que integra ingeniería social para hacer que las víctimas proporcionen acceso a su frase semilla de billetera de criptomonedas.
Esto se logra mediante una superposición en la pantalla que advierte a los usuarios de hacer una copia de seguridad de su clave de billetera en la configuración dentro de las 12 horas o arriesgarse a perder el acceso a su billetera.
Este truco de ingeniería social guía a las víctimas para navegar hasta su frase semilla, la clave de la billetera, lo que permite al malware Crocodilus recopilar el texto utilizando su registrador de accesibilidad, explican los especialistas. Con esta información, los hackers maliciosos pueden tomar el control total de la billetera y drenarla por completo.
En sus primeras operaciones, se observó que el software malicioso apuntaba a usuarios de países como Turquía y España, incluidas cuentas bancarias de estas 2 naciones. Juzgando por los mensajes de depuración, parece que el malware es de origen turco.
No está del todo claro cómo ocurre la infección inicial, pero, como es típico, las víctimas son engañadas para que descarguen droppers por medio de sitios maliciosos, promociones falsas en redes sociales o SMS, además de tiendas de aplicaciones de terceros.
Cuando es lanzado, el malware Crocodilus obtiene acceso al Servicio de Accesibilidad, normalmente reservado para ayudar a personas con discapacidades, para desbloquear el acceso al contenido de la pantalla, realizar gestos de navegación y monitorear el lanzamiento de aplicaciones.
Cuando la víctima abre una aplicación bancaria o de criptomonedas objetivo, Crocodilus carga una superposición falsa encima de la aplicación real, con el objetivo de interceptar las credenciales de la cuenta de la víctima.
Dicho malware ofrece también funcionalidad de troyano de acceso remoto o RAT, lo que permite a sus operadores tocar la pantalla, navegar por la interfaz de usuario, realizar gestos de deslizamiento y más. Del mismo modo, hay un comando RAT dedicado para tomar una captura de pantalla de la app Google Authenticator y capturar códigos de una sola vez utilizados para la protección de la cuenta, mediante la autenticación de 2 factores.
Mientras ejecutan estas acciones, los operadores de Crocodilus pueden activar una superposición de pantalla negra y silenciar el dispositivo para ocultar la actividad de la víctima y hacer que parezca que el equipo comprometido está bloqueado.
Aunque este malware parece tener un objetivo específico limitado a pocos países por el momento, es posible que el malware amplíe pronto sus operaciones, agregando más aplicaciones a su lista de objetivos. Es recomendable que los usuarios de Android eviten descargar APKs desde fuera de Google Play y asegurarse de que Play Protect se encuentre siempre activado en sus smartphones.
