Un número creciente de campañas maliciosas ha aprovechado un troyano de banca Android recientemente descubierto llamado Crocodilus para atacar a los usuarios en Europa y América del Sur.
El malware, según un nuevo informe publicado por Amenazfabric, también ha adoptado mejores técnicas de ofuscación para obstaculizar el análisis y la detección, e incluye la capacidad de crear nuevos contactos en la lista de contactos de la víctima.
«Actividad reciente revela múltiples campañas que ahora se dirigen a países europeos mientras continúan las campañas turcas y se expanden a nivel mundial a América del Sur», dijo la compañía de seguridad holandesa.
Crocodilus se documentó públicamente por primera vez en marzo de 2025 como para los usuarios de dispositivos de Android en España y Turquía al disfrazarse de aplicaciones legítimas como Google Chrome. El malware viene equipado con capacidades para lanzar ataques de superposición en una lista de aplicaciones financieras recuperadas de un servidor externo para cosechar credenciales.
También abusa de los permisos de servicios de accesibilidad para capturar frases de semillas asociadas con billeteras de criptomonedas, que luego pueden usarse para drenar los activos virtuales almacenados en ellas.
Los últimos hallazgos de AMABENFABRIC demuestran una expansión del alcance geográfico del malware, así como el desarrollo continuo con mejoras y nuevas características, lo que indica que los operadores lo mantienen activamente.
Se ha encontrado que las campañas seleccionadas dirigidas a Polonia aprovechan los anuncios falsos en Facebook como un vector de distribución imitando bancos y plataformas de comercio electrónico. Estos anuncios atraen a las víctimas a descargar una aplicación para reclamar supuestos puntos de bonificación. Los usuarios que intentan descargar la aplicación están dirigidos a un sitio malicioso que ofrece el gotero Crocodilus.
Otras ondas de ataque dirigidas a usuarios españoles y turcos se han disfrazado de actualización del navegador web y un casino en línea. Argentina, Brasil, India, Indonesia y Estados Unidos se encuentran entre las otras naciones que han sido señaladas por el malware.
Además de incorporar varias técnicas de ofuscación para complicar los esfuerzos de ingeniería inversa, las nuevas variantes de Crocodilus tienen la capacidad de agregar un contacto específico a la lista de contactos de la víctima al recibir el comando «Tru9mmrhbcro».
Se sospecha que la característica está diseñada como una contramunera para las nuevas protecciones de seguridad que Google ha introducido en Android que alerta a los usuarios de posibles estafas al iniciar aplicaciones bancarias durante una sesión de intercambio de pantalla con un contacto desconocido.
«Creemos que la intención es agregar un número de teléfono bajo un nombre convincente como ‘Soporte bancario’, permitiendo al atacante llamar a la víctima mientras aparece legítimo. Esto también podría evitar medidas de prevención de fraude que marcan números desconocidos», dijo Amenazfabric.
Otra característica nueva es un coleccionista de frases de semillas automatizadas que utiliza un analizador para extraer frases de semillas y claves privadas de billeteras de criptomonedas específicas.
«Las últimas campañas que involucran a Crocodilus Android Banking Troya indican una evolución preocupante tanto en la sofisticación técnica del malware como en su alcance operativo», dijo la compañía. «En particular, sus campañas ya no se limitan regionalmente; el malware ha extendido su alcance a nuevas áreas geográficas, subrayando su transición a una amenaza verdaderamente global».