Los investigadores de ciberseguridad han descubierto un nuevo malware de banca Android llamado Cocodrilo Eso está diseñado principalmente para atacar a los usuarios en España y Turquía.
«Crocodilus ingresa a la escena no como un clon simple, sino como una amenaza completas desde el principio, equipado con técnicas modernas como control remoto, superposiciones de pantalla negra y recolección de datos avanzada a través del registro de accesibilidad», dijo Amenazfabric.
Al igual que con otros troyanos bancarios de este tipo, el malware está diseñado para facilitar la adquisición de dispositivos (DTO) y, en última instancia, realizar transacciones fraudulentas. Un análisis del código fuente y los mensajes de depuración revelan que el autor de malware es de habla turca.
Los artefactos de Crocodilus analizados por la compañía de seguridad móvil holandesa Masquerade como Google Chrome (nombre del paquete: «Quizzical.washbowl.calamity»), que actúa como un gotero capaz de evitar las restricciones de Android 13+.
Una vez instalado y lanzado, la aplicación solicita permiso a los servicios de accesibilidad de Android, después de lo cual el contacto se establece con un servidor remoto para recibir más instrucciones, la lista de aplicaciones financieras que se dirigirán y las superposiciones de HTML se utilizarán para robar credenciales.
Crocodilus también es capaz de atacar billeteras de criptomonedas con una superposición que, en lugar de servir una página de inicio de sesión falsa para capturar información de inicio de sesión, muestra un mensaje de alerta que insta a las víctimas a respaldar sus frases de semillas dentro de 12, o de lo contrario corren el riesgo de perder el acceso a sus billeteras.
Este truco de ingeniería social no es más que una estratagema por parte de los actores de amenaza para guiar a las víctimas a navegar a sus frases de semillas, que luego se cosechan a través del abuso de los servicios de accesibilidad, lo que les permite obtener el control total de las billeteras y drenar los activos.
«Se ejecuta continuamente, monitoreando los lanzamientos de aplicaciones y mostrando superposiciones para interceptar las credenciales», dijo Amensefabric. «El malware monitorea todos los eventos de accesibilidad y captura todos los elementos que se muestran en la pantalla».
Esto permite que el malware registre todas las actividades realizadas por las víctimas en la pantalla, y active una captura de pantalla del contenido de la aplicación de autenticador de Google.
Otra característica de Crocodilus es su capacidad para ocultar las acciones maliciosas en el dispositivo mostrando una superposición de pantalla negra, así como los sonidos de silenciamiento, asegurando así que las víctimas no se desaprueban.
Algunas de las características importantes admitidas por el malware se enumeran a continuación –
- Iniciar aplicación especificada
- Self-retirada del dispositivo
- Publicar una notificación push
- Enviar mensajes SMS a todos/seleccionar contactos
- Recuperar listas de contactos
- Obtenga una lista de aplicaciones instaladas
- Obtener mensajes SMS
- Solicitar privilegios de administración del dispositivo
- Habilitar la superposición negra
- Actualizar la configuración del servidor C2
- Habilitar/deshabilitar el sonido
- Habilitar/deshabilitar Keylogging
- Convertirse en un administrador de SMS predeterminado
«El surgimiento del troyano de banca móvil Crocodilus marca una escalada significativa en la sofisticación y el nivel de amenaza planteado por el malware moderno», dijo Amenazfabric.
«Con sus capacidades avanzadas de consumo de dispositivos, las características de control remoto y el despliegue de ataques de superposición negra desde sus primeras iteraciones, Crocodilus demuestra un nivel de madurez poco común en amenazas recién descubiertas».
El desarrollo se produce cuando ForcePoint reveló los detalles de una campaña de phishing que se ha encontrado empleando señuelos con temas fiscales para distribuir los troyanos bancarios de Grandoreiro dirigidos a usuarios de Windows en México, Argentina y España por medio de un guión de Visual Basic ofuscado.
