Un número creciente de campañas maliciosas ha utilizado un troyano de banca Android recientemente descubierto llamado Crocodilus para atacar a los usuarios en Europa y América del Sur.
El malware, según un nuevo mensaje publicado por Amenazfabric, igualmente ha recogido mejores técnicas de ofuscación para obstaculizar el estudio y la detección, e incluye la capacidad de crear nuevos contactos en la nómina de contactos de la víctima.
«Actividad fresco revela múltiples campañas que ahora se dirigen a países europeos mientras continúan las campañas turcas y se expanden a nivel mundial a América del Sur», dijo la compañía de seguridad holandesa.
Crocodilus se documentó públicamente por primera vez en marzo de 2025 como para los usuarios de dispositivos de Android en España y Turquía al disfrazarse de aplicaciones legítimas como Google Chrome. El malware viene equipado con capacidades para propalar ataques de superposición en una nómina de aplicaciones financieras recuperadas de un servidor extranjero para cosechar credenciales.
Asimismo abusa de los permisos de servicios de accesibilidad para capturar frases de semillas asociadas con billeteras de criptomonedas, que luego pueden estilarse para drenar los activos virtuales almacenados en ellas.
Los últimos hallazgos de AMABENFABRIC demuestran una expansión del luces geográfico del malware, así como el incremento continuo con mejoras y nuevas características, lo que indica que los operadores lo mantienen activamente.
Se ha antitético que las campañas seleccionadas dirigidas a Polonia aprovechan los anuncios falsos en Facebook como un vector de distribución imitando bancos y plataformas de comercio electrónico. Estos anuncios atraen a las víctimas a descargar una aplicación para exigir supuestos puntos de descuento. Los usuarios que intentan descargar la aplicación están dirigidos a un sitio desconfiado que ofrece el dosificador Crocodilus.
Otras ondas de ataque dirigidas a usuarios españoles y turcos se han disfrazado de modernización del navegador web y un casino en orientación. Argentina, Brasil, India, Indonesia y Estados Unidos se encuentran entre las otras naciones que han sido señaladas por el malware.
Por otra parte de incorporar varias técnicas de ofuscación para complicar los esfuerzos de ingeniería inversa, las nuevas variantes de Crocodilus tienen la capacidad de pegar un contacto específico a la nómina de contactos de la víctima al admitir el comando «Tru9mmrhbcro».
Se sospecha que la característica está diseñada como una contramunera para las nuevas protecciones de seguridad que Google ha introducido en Android que alerta a los usuarios de posibles estafas al iniciar aplicaciones bancarias durante una sesión de intercambio de pantalla con un contacto desconocido.
«Creemos que la intención es pegar un número de teléfono bajo un nombre convincente como ‘Soporte bancario’, permitiendo al atacante atraer a la víctima mientras aparece permitido. Esto igualmente podría evitar medidas de prevención de fraude que marcan números desconocidos», dijo Amenazfabric.
Otra característica nueva es un coleccionista de frases de semillas automatizadas que utiliza un analizador para extraer frases de semillas y claves privadas de billeteras de criptomonedas específicas.
«Las últimas campañas que involucran a Crocodilus Android Banking Troya indican una cambio preocupante tanto en la sofisticación técnica del malware como en su luces eficaz», dijo la compañía. «En particular, sus campañas ya no se limitan regionalmente; el malware ha extendido su luces a nuevas áreas geográficas, subrayando su transición a una amenaza verdaderamente general».
