Los usuarios de Android deben tener cuidado: una pieza de malware recién descubierta está dirigida a las billeteras criptográficas de los teléfonos inteligentes.

Descubierto por la empresa de prevención de fraude ThreatFabric, el troyano de banca móvil «Crocodilus» emplea herramientas que incluyen control remoto, superposiciones de pantalla negra y recolección avanzada de datos a través del registro de accesibilidad para engañar a los poseedores de criptomonedas para que entreguen la frase semilla de su billetera.

El malware «se hace pasar por aplicaciones relacionadas con las criptomonedas e implica técnicas específicas de ingeniería social para hacer que las víctimas revelen los secretos almacenados dentro de las aplicaciones de billeteras de criptomonedas», dijo a Decrypt Aleksandar Eremin, jefe de inteligencia de amenazas móviles de ThreatFabric. Agregó que apunta al «interés específico de los actores detrás de esto en dirigirse a los usuarios de billeteras de criptomonedas».

Crucialmente, esta amenaza engaña a los usuarios de Android para que proporcionen la frase inicial para su propia billetera de criptomonedas. Para ello, emite una advertencia que pide a los usuarios que hagan una copia de seguridad de su clave para evitar perder el acceso.

ThreatFabric dijo que Crocodilus se distribuye a través de un cuentagotas patentado que elude las protecciones de seguridad en Android 13 o posterior.

Una vez que este dropper instala el malware, sin activar Play Protect, solicita permisos del Servicio de accesibilidad. Eso le permite eludir las restricciones del Servicio de accesibilidad, lo que le permite implementar una superposición de pantalla para obtener contraseñas.

El malware muestra a los usuarios un mensaje de advertencia falso que dice: «Haga una copia de seguridad de la clave de su billetera en la configuración dentro de las 12 horas. De lo contrario, la aplicación se restablecerá y es posible que pierda el acceso a su billetera».

Crocodilus también funciona como un troyano de acceso remoto (RAT), lo que significa que los operadores pueden navegar por la interfaz de usuario, deslizar el dedo mediante el control de gestos e incluso tomar capturas de pantalla. Según ThreatFabric, esto permite al operador de malware utilizar Google Authenticator para acceder a los códigos de acceso de autenticación de dos factores.

El malware hace todo esto discretamente mediante el uso de una superposición de pantalla negra, por lo que el propietario del teléfono no puede ver realmente qué acciones se están llevando a cabo de forma remota.

¿A quién se dirige Crocodilus?

En el momento de la publicación de este artículo parece que solo los usuarios de España y Turquía se han visto afectados por Crocodilus. El malware se descubrió por primera vez dirigido a personas en Turquía y España, y utiliza un lenguaje de depuración que parece estar en turco.

La forma en que se descarga ese dropper inicial es menos clara, según ThreatFabric, por lo que bien podría extenderse más allá de estas ubicaciones.

Según ThreatFabric, los usuarios son engañados para que descarguen los droppers a través de sitios maliciosos, redes sociales, promociones falsas, mensajes de texto y tiendas de aplicaciones de terceros. Los usuarios de Android pueden mitigar el riesgo usando solo Google Play Store para descargar aplicaciones y no descargando APK de otros sitios.

Eremin le dijo a Decrypt que, a pesar de ser un «recién llegado al panorama de amenazas móviles», el «rico conjunto de capacidades» de Crocodilus podría convertirlo en un competidor del malware como servicio establecido en los mercados clandestinos.

Pagina Original:

Crocodilus Malware Has Been Draining Crypto Wallets on Android