Investigadores de ThreatFabric han identificado una nueva amenaza significativa para usuarios de criptomonedas en dispositivos Android. El malware, denominado Crocodilus, emplea técnicas avanzadas de ingeniería social y capacidades sofisticadas de evasión para comprometer carteras criptográficas, representando una evolución preocupante en el panorama de amenazas móviles.

Capacidades Técnicas Avanzadas y Métodos de Distribución

Crocodilus destaca por su capacidad para eludir los mecanismos de seguridad más recientes de Android, incluyendo Google Play Protect. El malware utiliza un sistema de distribución especializado que le permite infiltrarse en dispositivos que ejecutan Android 13 y versiones posteriores, obteniendo acceso crítico al Accessibility Service, una funcionalidad que le otorga control extensivo sobre el dispositivo infectado.

Metodología de Ataque y Técnicas de Engaño

Una vez instalado, el malware implementa una estrategia de ataque multifacética. Mediante el acceso al Accessibility Service, puede monitorear la actividad del usuario, capturar contenido de pantalla y simular interacciones táctiles. La característica más alarmante es su capacidad para superponer interfaces falsas sobre aplicaciones legítimas de banca y criptomonedas.

Tácticas de Ingeniería Social Empleadas

El vector de ataque principal de Crocodilus se basa en la manipulación psicológica. Presenta alertas falsas que advierten sobre una supuesta necesidad de «respaldar la clave de la cartera en las próximas 12 horas» para evitar la pérdida de activos. Cuando las víctimas introducen sus frases semilla, el malware las captura instantáneamente mediante su registrador de accesibilidad.

Capacidades de Control Remoto y Alcance Global

El malware incorpora funcionalidades de acceso remoto (RAT) con 23 comandos diferentes para control del dispositivo. Los atacantes pueden realizar capturas de pantalla, interceptar códigos de autenticación de dos factores y ocultar su actividad mediante superposiciones negras o silenciamiento del dispositivo. Aunque inicialmente se ha detectado en Turquía y España, los expertos anticipan una rápida expansión global.

La sofisticación de Crocodilus marca un punto de inflexión en la evolución del malware móvil orientado a criptomonedas. Para protegerse, los usuarios deben mantener sus dispositivos actualizados, instalar aplicaciones únicamente desde fuentes oficiales y nunca compartir frases semilla bajo ninguna circunstancia. Las organizaciones de seguridad recomiendan implementar soluciones de protección adicionales y mantenerse informados sobre las últimas amenazas en el ecosistema cripto.