Bancos y populares plataformas de criptomonedas en España se encuentran entre los primeros objetivos de Crocodilus, un nuevo y sofisticado troyano bancario móvil, descubierto por los expertos de ThreatFabric. Según el informe de esta reconocida firma de ciberseguridad, este malware ha puesto sus ojos en billeteras digitales de criptoactivos, además de bancos en España y Turquía.
La firma indica que lejos de ser una mera copia de amenazas previas como Anatsa, Octo o Hook, Crocodilus llega equipado con técnicas avanzadas —control remoto, superposiciones de pantalla negra y recolección precisa de datos— que lo convierten en un peligro inmediato para los usuarios de Android y un dolor de cabeza para el ecosistema de las criptomonedas.
España y Crocodilus
Las billeteras de criptomonedas, objetivo de alto valor debido a la naturaleza irreversible de las transacciones en blockchain, están particularmente expuestas. ThreatFabric destaca que Crocodilus no solo roba credenciales de acceso, sino que utiliza tácticas de ingeniería social para engañar a los usuarios y obtener las codiciadas frases semilla, permitiendo a los atacantes vaciar cuentas en cuestión de minutos. Este enfoque subraya la evolución de las amenazas móviles hacia activos digitales de gran valor.
Identificado por ThreatFabric durante una búsqueda rutinaria de amenazas, la firma indica que Crocodilus no es un novato en el mundo del malware. Desde su concepción, incluye todas las características de un troyano bancario moderno: ataques de superposición, registro de pulsaciones (keylogging), acceso remoto y funciones de control ocultas. Su instalación se realiza mediante un dropper propietario que evade las restricciones de Android 13 y superiores, solicitando a las víctimas que activen los Servicios de Accesibilidad. Una vez concedido este permiso, el malware se conecta a un servidor de comando y control (C2) para descargar instrucciones y superposiciones específicas, diseñadas para interceptar credenciales tanto de aplicaciones bancarias como de plataformas de criptomonedas.
Transacciones fraudulentas
Aunque las campañas iniciales de Crocodilus se concentran en España, Turquía y billeteras digitales, los expertos de ThreatFabric prevén una rápida expansión global a medida que el malware evolucione. Crocodilus destaca por su «keylogger de accesibilidad», una herramienta que, según ThreatFabric, captura todos los elementos mostrados en pantalla, incluidos los códigos OTP de aplicaciones como Google Authenticator. La información recolectada se envía en tiempo real a los atacantes, quienes pueden realizar transacciones fraudulentas sin que la víctima lo detecte. Para ocultar sus acciones, el malware superpone pantallas negras y silencia el dispositivo, asegurando que las actividades pasen desapercibidas.
La próxima revolución social en internet es tu identidad digital
Un rasgo particularmente astuto de Crocodilus, destacado por ThreatFabric, es su uso de la ingeniería social, especialmente contra usuarios de criptomonedas. Tras ingresar una contraseña o PIN en una billetera digital, las víctimas ven un mensaje falso: «Realice una copia de seguridad de la clave de su billetera en la configuración dentro de 12 horas. De lo contrario, la aplicación se reiniciará y podría perder el acceso». Este engaño lleva a los usuarios a exponer sus frases semilla, que el malware recolecta al instante, permitiendo a los atacantes vaciar las cuentas por completo.
¿Quién está detrás de Crocodilus?
La empresa de ciberseguridad señala que las primeras pistas apuntan a un posible vínculo con «sybra», un actor de amenazas conocido por operar variantes como MetaDroid, Hook y Octo. Las muestras iniciales incluyen la etiqueta «sybupdate», aunque no está claro si «sybra» es el creador o un cliente que prueba esta nueva herramienta. Mensajes de depuración en turco encontrados en el código sugieren, además, que los desarrolladores podrían tener raíces en ese país.
ThreatFabric advierte que las instituciones financieras y las plataformas de criptomonedas, especialmente en regiones como España, deben adoptar estrategias de seguridad avanzadas, como el análisis de comportamiento y la evaluación de riesgos en tiempo real, para proteger a sus usuarios.

