Para atacar a los usuarios en Europa y América del Sur, hay un número creciente de campañas maliciosas que aprovechan el troyano de banca Android recientemente descubierto llamado Crocodilus.
El malware también emplea técnicas de ofuscación mejoradas para prevenir el análisis y la detección, según un nuevo informe publicado por AMABENFABRIC, e incluye la capacidad de crear nuevos contactos en la lista de contactos de la víctima.
«Actividades recientes han revelado múltiples campañas que actualmente dirigen a los países europeos, mientras continúan su campaña de Turquía y se expanden a nivel mundial a América del Sur», dijo la compañía de seguridad holandesa.
Crocodilus se lanzó por primera vez en marzo de 2025 para atacar a los usuarios de dispositivos de Android en España y Turquía, posa como una aplicación legítima como Google Chrome. El malware está equipado con la capacidad de lanzar un ataque de superposición para lanzar un ataque de superposición en una lista de aplicaciones financieras obtenidas de servidores externos.
También se puede utilizar para abusar de la autoridad de los servicios de accesibilidad para capturar frases de semillas relacionadas con las billeteras de criptomonedas y luego para emitir activos virtuales almacenados.
Los últimos hallazgos de Denacena muestran que el alcance geográfico del malware está ampliado y el desarrollo continuo con mejoras y nuevas características, lo que demuestra que los operadores lo mantienen activamente.
Se ha encontrado que las campañas de elección dirigidas en Polonia utilizan anuncios falsos de Facebook como vectores de distribución imitando bancos y plataformas de comercio electrónico. Estos anuncios descargarán aplicaciones que invitan a las víctimas y le cobrarán por los puntos de bonificación esperados. Los usuarios que intenten descargar la aplicación estarán dirigidos a sitios maliciosos que proporcionan cropser crocodilus.
Otras oleadas de ataque dirigidos a usuarios españoles y turcos se disfrazan a sí mismos como actualizaciones de navegadores web y casinos en línea. Argentina, Brasil, India, Indonesia y los Estados Unidos se encuentran entre los otros países elegidos por malware.
Además de incorporar una variedad de técnicas de ofuscación para complicar los esfuerzos de ingeniería inversa, una nueva variante de Crocodilus permite que el contacto especificado se agregue a la lista de contactos de la víctima cuando recibe al comandante «tru9mmrhbcro».
Esta característica está diseñada como una nueva medida de seguridad introducida por Google en Android, y alerta a los usuarios al iniciar una aplicación bancaria durante una sesión de intercambio de pantalla con contactos desconocidos.
«Creemos que es agregar un número de teléfono con un nombre convincente, como ‘soporte bancario’, lo que permite al atacante llamar a la víctima mientras parece ser legítimo.
Otra nueva característica es un coleccionista de frases de semillas automatizadas que utiliza un analizador para extraer frases de semillas y claves privadas para una billetera de criptomonedas específica.
«La última campaña que involucra a Crocodilus Android Banking Trojan muestra preocupación por la evolución del refinamiento técnico de malware y su alcance operativo», dijo la compañía. «En particular, su campaña ya no se limita a las regiones. El malware expande su alcance a nuevas áreas geográficas, destacando la transición a amenazas verdaderamente globales».
Source link
