España encendió alerta por nuevo malware que roba datos bancarios

Investigadores de seguridad de Intel identificaron una nueva y avanzada familia de malware para dispositivos Android, denominada “Crocodilus”. Este troyano bancario, centrado principalmente en España y Turquía, presenta características completas para el fraude financiero, según fue publicado por el portal oficial de la empresa de prevención de fraude basada en inteligencia de amenazas procesable, The Fabric. 

Según detalló la publicación, a pesar de su reciente aparición, “Crocodilus” demuestra una sofisticación notable, con un modus operandi típico de los troyanos bancarios modernos.

• Según encuesta, inversores españoles sitúan a la economía global como gran riesgo

“La infección inicial se produce a través de un dropper​​ (un tipo de troyano que ha sido diseñado para 'instalar' algún tipo de malware en un sistema objetivo) diseñado para evadir las protecciones de Android 13 y versiones superiores. Una vez instalado, el malware solicita la activación del Servicio de Accesibilidad, un permiso que le otorga amplias capacidades de interacción con el sistema operativo”, mencionó la información.

Además, también afirmaron que, “tras obtener los permisos necesarios, 'Crocodilus' establece comunicación con un servidor de mando y control (C2) para recibir instrucciones. Estas incluyen una lista de aplicaciones objetivo, principalmente entidades bancarias y billeteras de criptomonedas, y las superposiciones maliciosas diseñadas para capturar las credenciales de acceso de los usuarios. El malware opera de forma continua, monitorizando el inicio de las aplicaciones objetivo para desplegar las superposiciones fraudulentas en el momento oportuno”.

• España: lanzan concurso de artículos académicos, para repensar el futuro con Bitcoin

Funciones destacadas del malware

“Crocodilus tiene una capacidad avanzada de robo de datos, que va más allá del simple registro de pulsaciones. El malware monitoriza todos los eventos de accesibilidad, capturando cada elemento que aparece en la pantalla. Esta técnica le permite registrar cualquier texto introducido por la víctima, actuando como un keylogger, pero también recopilando información visual sensible”, según confirmaron los investigadores.

• Memecoins de Trump, valoradas en USD 321M, serán desbloqueadas la próxima semana

Según expusieron a través de la publicación, es “especialmente preocupante la capacidad de "Crocodilus" para interceptar códigos de autenticación de dos factores (OTP) de Google Authenticator. A través de un comando específico ("TG32XAZADG"), el malware realiza una captura de pantalla del contenido de la aplicación, utilizando las capacidades de registro de accesibilidad para extraer tanto el nombre del código OTP como su valor, enviándolos de inmediato al servidor C2. Esto permite a los atacantes realizar transacciones fraudulentas de manera oportuna”.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.