El troyano Crocodilus roba códigos de un solo uso directamente de Google Authenticator

Investigadores en el campo de la ciberseguridad informaron sobre la aparición de un nuevo malware bancario para Android llamado Crocodilus, que apunta activamente a usuarios en España y Turquía. A diferencia de la mayoría de las amenazas recientes, Crocodilus se presentó de inmediato como una aplicación maliciosa madura y tecnológicamente avanzada.

Según ThreatFabric, el malware emplea todo un arsenal de técnicas modernas: desde el control remoto del dispositivo hasta la superposición de pantallas falsas y la recopilación de información confidencial mediante mecanismos de accesibilidad. Es capaz de interceptar completamente el control del dispositivo y realizar operaciones financieras sin el conocimiento del propietario.

Una característica distintiva de Crocodilus es que se disfraza como el navegador Google Chrome, utilizando un nombre de paquete falso: «quizzical.washbowl.calamity». De este modo, el malware consigue instalarse incluso en dispositivos con Android 13 o superior, eludiendo los mecanismos de protección incorporados. Al iniciarse, la aplicación solicita acceso a funciones especiales del dispositivo, lo que le abre amplias posibilidades para ataques posteriores.

El contacto con un servidor remoto permite descargar una lista de aplicaciones objetivo, obtener plantillas HTML para el robo de credenciales e instrucciones para interactuar con el dispositivo infectado. Además de las aplicaciones bancarias, Crocodilus también apunta a billeteras de criptomonedas. En lugar de una pantalla de inicio de sesión falsa tradicional, el malware muestra un mensaje en pantalla instando a guardar urgentemente la frase semilla, amenazando con la pérdida de acceso a los activos. Los usuarios, al seguir las instrucciones, abren la pantalla necesaria, lo que permite al malware robar datos críticos mediante accesibilidad.

Crocodilus no solo registra pulsaciones de teclas o aplicaciones abiertas. Supervisa todos los eventos que ocurren en la pantalla y puede tomar capturas de pantalla, incluso en aplicaciones protegidas como Google Authenticator. Esto permite interceptar códigos de autenticación en dos pasos.

Para ocultar su actividad, el malware puede mostrar una pantalla negra, desactivar el sonido y ocultar rastros visuales. Todo esto reduce la probabilidad de detección por parte del usuario. Entre sus funcionalidades se encuentran: iniciar aplicaciones específicas, enviar SMS a los contactos, recopilar la lista de aplicaciones instaladas, enviar notificaciones push, recibir mensajes SMS y asignarse como administrador de mensajes predeterminado.

Además, el malware puede solicitar privilegios de administrador, desactivar el sonido, activar el registro de pulsaciones de teclas, actualizar la configuración de los servidores de control y eliminarse del dispositivo tras completar sus operaciones.

Las conclusiones de ThreatFabric destacan que Crocodilus no es simplemente un nuevo malware, sino una amenaza completa y madura con capacidades propias de troyanos activos desde hace tiempo. El alto nivel de desarrollo y la sofisticación de sus mecánicas indican que el desarrollador tiene un sólido conocimiento en seguridad móvil. El código fuente y los mensajes de depuración sugieren que el autor habla turco, lo que podría indicar el origen geográfico de la amenaza.

La aparición de Crocodilus coincidió con otra campaña activa de distribución del troyano bancario Grandoreiro mediante correos electrónicos de phishing con señuelos fiscales. Esta campaña, dirigida a usuarios de Windows en México, Argentina y España, utiliza scripts ofuscados en Visual Basic para distribuir el código malicioso, demostrando que los ataques a los sistemas bancarios siguen evolucionando tanto en plataformas móviles como de escritorio.