Los investigadores de ciberseguridad han descubierto un nuevo malware de banca Android llamado Cocodrilo Eso está diseñado principalmente para atacar a los usuarios en España y Turquía.
“Crocodilus ingresa a la terreno no como un clon simple, sino como una amenaza completas desde el principio, equipado con técnicas modernas como control remoto, superposiciones de pantalla negra y casa recoleta de datos descubierta a través del registro de accesibilidad”, dijo Amenazfabric.
Al igual que con otros troyanos bancarios de este tipo, el malware está diseñado para allanar la adquisición de dispositivos (DTO) y, en última instancia, realizar transacciones fraudulentas. Un prospección del código fuente y los mensajes de depuración revelan que el autor de malware es de deje turca.
Los artefactos de Crocodilus analizados por la compañía de seguridad móvil holandesa Masquerade como Google Chrome (nombre del paquete: “Quizzical.washbowl.calamity”), que actúa como un dosificador capaz de evitar las restricciones de Android 13+.
Una vez instalado y enérgico, la aplicación solicita permiso a los servicios de accesibilidad de Android, luego de lo cual el contacto se establece con un servidor remoto para acoger más instrucciones, la inventario de aplicaciones financieras que se dirigirán y las superposiciones de HTML se utilizarán para robar credenciales.
Crocodilus incluso es capaz de atacar billeteras de criptomonedas con una superposición que, en emplazamiento de servir una página de inicio de sesión falsa para capturar información de inicio de sesión, muestra un mensaje de alerta que insta a las víctimas a respaldar sus frases de semillas interiormente de 12, o de lo contrario corren el aventura de perder el camino a sus billeteras.
Este truco de ingeniería social no es más que una estratagema por parte de los actores de amenaza para encauzar a las víctimas a navegar a sus frases de semillas, que luego se cosechan a través del alcaldada de los servicios de accesibilidad, lo que les permite obtener el control total de las billeteras y drenar los activos.
“Se ejecuta continuamente, monitoreando los lanzamientos de aplicaciones y mostrando superposiciones para interceptar las credenciales”, dijo Amensefabric. “El malware monitorea todos los eventos de accesibilidad y captura todos los nociones que se muestran en la pantalla”.
Esto permite que el malware registre todas las actividades realizadas por las víctimas en la pantalla, y active una captura de pantalla del contenido de la aplicación de autenticador de Google.
Otra característica de Crocodilus es su capacidad para ocultar las acciones maliciosas en el dispositivo mostrando una superposición de pantalla negra, así como los sonidos de silenciamiento, asegurando así que las víctimas no se desaprueban.
Algunas de las características importantes admitidas por el malware se enumeran a continuación –
- Iniciar aplicación especificada
- Self-retirada del dispositivo
- Propagar una notificación push
- Dirigir mensajes SMS a todos/elegir contactos
- Recuperar listas de contactos
- Obtenga una inventario de aplicaciones instaladas
- Obtener mensajes SMS
- Solicitar privilegios de suministro del dispositivo
- Habilitar la superposición negra
- Modernizar la configuración del servidor C2
- Habilitar/deshabilitar el sonido
- Habilitar/deshabilitar Keylogging
- Convertirse en un administrador de SMS predeterminado
“El surgimiento del troyano de banca móvil Crocodilus marca una ascensión significativa en la sofisticación y el nivel de amenaza planteado por el malware actual”, dijo Amenazfabric.
“Con sus capacidades avanzadas de consumo de dispositivos, las características de control remoto y el despliegue de ataques de superposición negra desde sus primeras iteraciones, Crocodilus demuestra un nivel de juicio poco popular en amenazas recién descubiertas”.
El exposición se produce cuando ForcePoint reveló los detalles de una campaña de phishing que se ha antitético empleando señuelos con temas fiscales para distribuir los troyanos bancarios de Grandoreiro dirigidos a usuarios de Windows en México, Argentina y España por medio de un argumento de Visual Basic ofuscado.
