La firma de seguridad ThreatFabric ha advertido sobre el troyano Crocodilus, diseñado para robar las credenciales de acceso a las billeteras, pero también para conseguir la frase semilla y robar las criptomonedas sin que la víctima se dé cuenta, desplegando para ello distintas técnicas modernas que apoya.

Crocodilus, un nuevo troyano bancario que reúne un arsenal de características modernas que le permiten infectar un dispositivo y hacerse con el control para vaciar las cuentas bancarias y criptocarteras de sus víctimas. Como explican desde ThreatFabric, se dirige principalmente contra víctimas de España y Turquía.

Este nuevo troyano busca romper la seguridad de las carteras de criptomonedas. freepik

Así ataca Crocodilus

Para ello, utiliza un dropper, un tipo de troyano que se descarga en el equipo de la víctima para, una vez en él, instalar el malware con el que lo infectará para realizar la actividad maliciosa, utilizando la ingeniería social para engañar a las víctimas y saltarse por completo todos los sistemas de seguridad.

Una vez instalado, Crocodilus solicita habilitar el servicio de accesibilidad, bajo el pretexto de que con ello funcionará correctamente, aunque no queda claro cómo ocurre la infección, si a través de un enlace malicioso o de una aplicación fraudulenta. Una vez concedidos los permisos, tiene a su alcance una serie de características alternativas con las que desbloquear la pantalla y navegar por el dispositivo.

También se conecta a un servidor de comando y control, del que recibe las instrucciones. De esta forma, obtiene una lista de aplicaciones objetivo y las superposiciones –la interfaz que suplantará a la original y legítima– con las que robará las credenciales de los usuarios.

Entre sus capacidades avanzadas se encuentra la de keylogging; con el acceso a las funciones de accesibilidad, puede monitorizar todos los eventos que ocurren en la pantalla y registrar los cambios que se hacen en ella, como escribir una contraseña. De esta forma, consigue las credenciales de acceso a las aplicaciones de criptocarteras.

Sin embargo, va más allá, ya que Crocodilus muestra una pantalla emergente fraudulenta que avisa de la necesidad de hacer una copia de seguridad de la clave de la billetera en un plazo de 12 horas para no perder el acceso a la billetera.

De esta forma, consigue no solo las credenciales de acceso al servicio –que ya registró con la superposición y los controles de accesibilidad–, sino también la clave de recuperación de la billetera, lo que se conoce como frase semilla. Esta frase semilla es una secuencia de palabras aleatorias que almacena los datos necesarios para acceder o recuperar las criptomonedas. Estas frases semilla son generadas por las propias billeteras de criptomonedas y son cruciales para la seguridad de los activos digitales. Como es lógico, es esencial mantenerla segura y privada, y es aquí donde este Crocodilus ataca directamente.

A ello se suma su capacidad para facilitar que los cibercriminales realicen acciones de forma remota sin que la víctima se dé cuenta, ya que utiliza una pantalla negra superpuesta que las oculta y silencia el sonido del dispositivo, para que nada pueda delatarlo.

“El auge de nuevas amenazas como Crocodilus demuestra que los métodos básicos de detección basados en firmas ya no son suficientes”, señalan desde ThreatFabric. Por ello, esta empresa considera que “las instituciones financieras deben adoptar un enfoque de seguridad por capas que incluya un análisis exhaustivo de riesgos basado en el comportamiento y los dispositivos de sus clientes”.

España y Turquía, los países más afectados

España y Turquía son los países más afectados hasta ahora. Los analistas creen que el malware podría haberse originado en Turquía antes de expandirse internacionalmente, mientras que en España, los usuarios han reportado pérdidas de miles de euros debido al acceso no autorizado a sus billeteras.

En cuanto a quiénes se intuye que están detrás, podrían estar vinculados al grupo conocido como Sybra, responsable también del desarrollo de otros malwares como MetaDroid y Octo. Todavía no se ha confirmado al 100 %, pero todas las pistas apuntan directamente a ellos.

¿Cómo te puedes proteger?

La mejor defensa, como suele ocurrir siempre en temas de ciberseguridad, es la prevención, que debe ser proactiva. Para ello hay que tener en cuenta los siguientes aspectos:

  • Evitar instalar aplicaciones fuera de Google Play. Se trata de descargar apps solo desde fuentes oficiales y verificar siempre las reseñas que se ofrezcan.
  • Desconfiar de los enlaces sospechosos. No se deben abrir mensajes SMS o correos electrónicos con enlaces desconocidos.
  • Revisar los permisos. Si una aplicación solicita activar servicios de accesibilidad sin motivo aparente o suscita dudas, denegar todo.
  • Usar autenticación multifactor. Proteger las cuentas con medidas extra como códigos enviados por SMS o aplicaciones específicas.

A todo esto añadir que, si se detectan comportamientos extraños en el teléfono móvil, como notificaciones extrañas y no habituales o que de repente va más despacio, desconectar el dispositivo de Internet y revisarlo, en la medida que se pueda, si hay algo raro que no tengamos controlado o que actúe en un segundo plano sin nuestro conocimiento.