- Crocodilus s'infiltra a mòbils Android per robar frases llavor de bitlleteres cripte.
- Usa enginyeria social i superposicions falses per enganyar les víctimes.
- Opera principalment a Espanya i Turquia, amb possibilitat d'expansió global.
- Evadeix mesures de seguretat modernes com Google Play Protect i Android 13.
Els dispositius Android enfronten una nova amenaça que posa en perill la seguretat dels seus usuaris: es tracta de Crocodilus, un troià bancari mòbil que ha estat detectat a diferents punts del món, causant especial preocupació a Espanya i Turquia. Aquest virus no només busca prendre el control del dispositiu, sinó que a més apunta directament a les billeteres de moneda digital, amb la intenció de buidar-les del tot sense que l'usuari se n'adoni. Per entendre millor aquestes amenaces, pots consultar el nostre article sobre malware relacionat amb criptomonedes.
A diferència d'altres codi maliciós clàssics, Crocodilus ha demostrat ser especialment astut al moment de camuflar-se i evitar ser detectat, fins i tot per mesures avançades com Google Play Protect. Els seus mecanismes d'infiltració i engany es basen en tàctiques de enginyeria social, reforçats per funcions com l'accés remot i les superposicions de pantalla falses, que simulen aplicacions legítimes per obtenir dades sensibles de les víctimes.
Un enemic invisible: com s'instal·la Crocodilus
Crocodilus no es descarrega des de la botiga oficial de aplicacions, però aconsegueix ingressar al dispositiu com a part d'altres aplicacions camuflades. Aquestes es poden presentar com a eines atractives o actualitzacions aparentment necessàries, cosa que convenç molts usuaris a instal·lar-les sense sospites. Un cop dins del sistema, el el malware sol·licita l'activació del Servei d'Accessibilitat d'Android, un permís molt potent que sol utilitzar-se per facilitar l'ús del dispositiu a persones amb discapacitats, però que també obre una porta d'accés molt àmplia per als ciberatacants.
En obtenir aquests permisos, Crocodilus es connecta a un servidor remot de comandament i control (C2), des d'on comença a rebre ordres. Aquestes inclouen quines apps ha de vigilar, quan activar les pantalles falses i com obtenir la informació desitjada. L'objectiu és clar: interceptar les credencials daccés a les bitlleteres digitals i, sobretot, capturar la frase llavor, aquesta combinació de paraules que permet recuperar qualsevol compte cripte. Per a més informació sobre aquest tipus de codi maliciós, pots visitar la nostra anàlisi sobre troians RAT.
Un cop activat, el codi maliciós continua funcionant en segon pla, monitoritzant cada pas de l'usuari. Quan detecta l'obertura d'una aplicació de criptomonedes o entitat bancària, llança una superposició idèntica a l'app real, silencia el so del mòbil i pren el control visual de la pantalla. Des d'aquell moment, tot allò que l'usuari escriu o veu pot ser capturat per l'atacant.
Tàctiques d'engany: enginyeria social al servei del delicte
Una de les armes més efectives de Crocodilus no és tecnològica, sinó psicològica: el codi maliciós empra estratègies d'enginyeria social per manipular els usuaris i fer-los creure que han d'actuar amb urgència. Un exemple comú és lús dalertes falses que apareixen just després que lusuari introdueix la seva contrasenya o codi PIN en una app de criptomonedes. Aquestes notificacions recomanen fer una còpia de seguretat de la frase llavor sota amenaça que l'app es reiniciarà en les properes 12 hores, cosa que podria portar a una pèrdua definitiva d'accés.
Aquest tipus de missatges apel·len a la por i generen un sentit d'urgència fals., el que porta moltes persones a caure al parany i lliurar les seves claus confidencials. Un cop obtinguda la frase llavor, els atacants poden clonar la cartera i transferir tot el contingut a un altre compte sense deixar rastre.
Els experts de ThreatFabric, l'empresa de ciberseguretat que va descobrir el malware, asseguren que Crocodilus presenta característiques trobades en amenaces sofisticades, com el control total del dispositiu, keylogging o registre de pulsacions, i fins i tot la capacitat dinterceptar codis de verificació en dos passos (2FA) generats per apps com Google Authenticator. Aquesta situació recorda els riscos associats a vulnerabilitats a navegadors.
Origen i abast de l'amenaça
La primera aparició documentada de Crocodilus va tenir lloc a dispositius d'usuaris ubicats a Espanya i Turquia, encara que els investigadors alerten que la seva propagació pot ser molt més àmplia en els propers mesos. A més, s'han trobat fragments de codi i anotacions en idioma turc que podrien indicar l'origen geogràfic del codi maliciós o almenys la nacionalitat dels seus desenvolupadors.
Un dels noms que més es repeteix en l'anàlisi dels especialistes és “sybra”, un actor d'amenaça que ja ha estat vinculat anteriorment amb altres virus com Hook, Octo o MetaDroid. Si bé no es pot confirmar que sigui el creador directe de Crocodilus, hi ha prou indicis que apunten a la seva possible implicació o, almenys, que el codi maliciós podria formar part d'una família més àmplia d'amenaces en evolució constant.
La capacitat del codi maliciós (malware) per evadir mecanismes de seguretat d'Android 13 i versions posteriors, així com la seva habilitat per amagar-se rere pantalles en negre o silenciar les notificacions, el situen un pas endavant de moltes solucions de ciberseguretat actuals. Per això experts en seguretat qualifiquen aquest troià com una de les amenaces més complexes i perilloses dels últims temps.
El teu mòbil està en risc? Com evitar ser víctima de Crocodilus
La millor eina contra aquest tipus de codi maliciós continua sent la prevenció. Tot i que el virus ha estat dissenyat per passar desapercebut, els usuaris poden prendre mesures per reduir considerablement el risc d'infecció i protegir-ne la informació financera. Aquestes són algunes recomanacions clau que els especialistes suggereixen implementar com més aviat millor:
- Evitar donar permisos daccessibilitat a apps desconegudes: aquest permís no hauria de ser concedit a cap aplicació que no sigui de confiança absoluta.
- Instal·lar apps només des de botigues oficials: Google Play Store, encara que no infal·lible, segueix sent més segura que altres fonts de descàrrega.
- Configurar l'autenticació multifactor (MFA) en dispositius separats: utilitzar Google Authenticator al mateix dispositiu que gestiona les criptomonedes pot facilitar certs tipus d'atacs.
- Usar carteres fredes o maquinari carteres: mantenir les claus privades en un dispositiu sense connexió és la millor defensa davant d'aquest tipus d'atacs.
- Sospitar de qualsevol missatge que insti a fer una còpia de seguretat immediata de la frase llavor: cap app legítima amenaça d'eliminar l'accés si no es fa una còpia de seguretat en 12 hores.
També es recomana revisar periòdicament els permisos concedits als ajustaments del sistema Android, desinstal·lar qualsevol programari sospitós i mantenir actualitzats tant el sistema operatiu com les aplicacions de seguretat instal·lades. A més, l'ús de solucions d'anàlisi de comportament, més enllà de les clàssiques deteccions per signatura, pot ser útil per identificar comportaments inusuals.
Les institucions financeres i plataformes de criptomonedes també tenen un paper clau en aquesta lluita. Algunes ja estan apostant per sistemes que analitzen el comportament dels usuaris en temps real per detectar moviments anòmals, cosa que podria ajudar a frenar l'acció d'aquests troians abans que es produeixin transferències fraudulentes.
L'aparició de Crocodilus posa de manifest una realitat preocupant: els ciberdelinqüents continuen desenvolupant eines més complexes per explotar els punts febles de l'ecosistema digital. El seu enfocament directe cap als actius cript, sumat a l'ús d'enginyeria social i funcionalitats avançades com a control remot o el·lusió de 2FA, el converteixen en una amenaça que ni usuaris experimentats ni plataformes tecnològiques no poden ignorar.
Redactor apassionat del món dels bytes i la tecnologia en general. M'encanta compartir els meus coneixements a través de l'escriptura, i això és el que faré en aquest bloc, mostrar tot el més interessant sobre gadgets, programari, maquinari, tendències tecnològiques, i més. El meu objectiu és ajudar-te a navegar pel món digital de forma senzilla i entretinguda.