La firma de ciberseguridad Threat Fabric ha advertido sobre la existencia de una nueva familia de malware para dispositivos móviles que busca hacerse con las criptomonedas de los usuarios. La han bautizado como 'Crocodilus'.
Esta amenaza enfocada en teléfonos Android es capaz de superponer una pantalla falsa sobre ciertas aplicaciones móviles, haciéndose con sus frases semilla mientras el virus toma el control de los smartphones.
Para ello, se sirve de un truco muy frecuente entre los cibermalos: la sensación de riesgo y urgencia.
"Una vez que la víctima introduce la contraseña en la aplicación, la superposición mostrará un mensaje: ‘Realiza una copia de seguridad de la clave de tu billetera en la configuración dentro de 12 horas. De lo contrario, la aplicación se restablecerá y podrías perder el acceso a tu billetera’", explican los investigadores de Threat Fabric.
"Este truco de ingeniería social guía a la víctima para que acceda a la clave semilla de su billetera, lo que permite a Crocodilus capturar el texto utilizando su registrador de accesibilidad", añaden.
Con el foco en España
Los usuarios españoles y turcos son los que deben tener más cuidado, ya que el troyano parece apuntar principalmente hacia ellos. Se sospecha que sus creadores pueden estar en Turquía. No obstante, los investigadores esperan que esta amenaza amplíe su radio de acción con el tiempo.
A pesar de que se trata de un malware de reciente creación Crocodilus está 'armado' con todas las características de los troyanos bancarios modernos, como ataques de superposición, recopilación avanzada de datos mediante capturas de pantalla de información sensible, así como acceso remoto para tomar el control del dispositivo infectado.
La infección se produce cuando los usuarios descargan de manera inadvertida el malware mediante otro software que eluce las protecciones de seguridad de Android 13.
El malware puede operar en segundo plano, llegando a supervisar la utilización de aplicaciones y mostrando superposiciones falsas para hacerse con más credenciales. Esto se produce al abrir una app vinculado a criptomonedas o a un banco.
Desde la firma de ciberseguridad comentan que la aparición de este troyano marca "una escalada significativa en el nivel de sofisticación y amenaza del malware moderno".
"Con sus avanzadas capacidades de toma de control del dispositivo, funciones de acceso remoto y el uso de ataques de superposición negra desde sus primeras versiones, Crocodilus demuestra un nivel de madurez poco común en amenazas recientemente descubiertas", concluyen.