Crocodilus, el troyano bancario que roba la frase semilla de las criptocarteras

La firma de seguridad ThreatFabric ha advertido sobre el troyano Crocodilus, diseñado para robar las credenciales de acceso a las billeteras, pero también para conseguir la frase semilla y robar las criptomonedas sin que la víctima se dé cuenta desplegando para ello distintas técnicas modernas.

Crocodilus, un nuevo troyano bancario que reúne un arsenal de características modernas que le permiten infectar un dispositivo y hacerse con el control para vaciar las cuentas bancarias y criptocarteras de sus víctimas. Como explican desde ThreatFabric en su blog oficial, se dirige principalmente contra víctimas de España y Turquía.

Para ello, utiliza un 'dropper', un tipo de troyano que se descarga en el equipo de la víctima para, una vez en él, instalar el 'malware' con el que lo infectará para realizar la actividad maliciosa, y, en este caso, tiene la capacidad de evadir las restricciones que pone Android (desde la versión 13 en adelante).

Una vez instalado, Crocodilus solicita habilitar el servicio de accesibilidad, bajo el pretexto de que con ello funcionará correctamente, aunque no queda claro cómo ocurre la infección, si a través de un enlace malicioso o de una aplicación fraudulenta. Una vez concedidos los permisos, tiene a su alcance una serie de características alternativas con las que desbloquear la pantalla y navegar por el dispositivo.

También se conecta a un servidor de comando y control, del que recibe las instrucciones. De esta forma, obtiene una lista de aplicaciones objetivo y las superposiciones -la interfaz que suplantará a la original y legítima- con las que robará las credenciales de los usuarios.

Entre sus capacidades avanzadas se encuentra la de 'keylogging'; con el acceso a las funciones de accesibilidad, puede monitorizar todos los eventos que ocurren en la pantalla y registrar los cambios que se hacen en ella, como escribir una contraseña. De esta forma, consigue las credenciales de acceso a las aplicaciones de criptocarteras.

Sin embargo, va más allá, ya que Crocodilus muestra una pantalla emergente fraudulenta que avisa de la necesidad de hacer una copia de seguridad de la clave de la billetera en un plazo de 12 horas para no perder el acceso a la billetera.

De esta forma, consigue no solo las credenciales de acceso al servicio -que ya registró con la superposición y los controles de accesibilidad-, sino también la clave de recuperación de la billetera, lo que se conoce como frase semilla.

A ello se suma su capacidad para facilitar que los cibercriminales realicen acciones de forma remota sin que la víctima se dé cuenta, ya que utiliza una pantalla negra superpuesta que las oculta y silencia el sonido del dispositivo, para que nada pueda delatarlo.

"El auge de nuevas amenazas como Crocodilus demuestra que los métodos básicos de detección basados en firmas ya no son suficientes", señalan desde ThreatFabric. Por ello, esta empresa considera que "las instituciones financieras deben adoptar un enfoque de seguridad por capas que incluya un análisis exhaustivo de riesgos basado en el comportamiento y los dispositivos de sus clientes".