El grupo de investigación MTI alertó sobre una variación del malware Crocodilus que ataca específicamente las apps de monederos cripto.
A diferencia de sus anteriores versiones, este ejemplar incorpora un módulo de análisis avanzado que extrae frases semilla y claves privadas directamente de las pantallas de los usuarios. Para ello se ayuda en la función de accesibilidad del sistema, pero añade un previo tratamiento de los datos de pantalla, aplicando patrones regulares que transforman la información antes de que aparezca al atacante.
Según los técnicos de MTI, esta preelaboración ofrece registros limpios y estructurados, listos para emplearse en fraudes como la suplantación de cuentas y la apropiación de divisas virtuales. En anteriores investigaciones se informó cómo la variante obligaba al usuario a abrir su monedero, capturando manualmente los datos visibles; ahora, el sistema automatiza gran parte de ese proceso, reduciendo errores y acelerando la extracción de datos.
Además de su sensor semántico, Crocodilus añade un recurso que altera la agenda de contactos del dispositivo infectado. El programa inserta números con etiquetas aparentemente oficiales -por ejemplo “Soporte Bancario”- para llamar a la víctima y evadir filtros antifraude que bloquean dígitos desconocidos. Una táctica de ingeniería social refinada para aumentar las posibilidades de engaño.
Concentración de ataques a España y otros países
Las campañas activas se concentran en Turquía y España, donde Crocodilus se disfraza de forma distinta según el mercado. En Turquía circula como un portal de apuestas online, utilizando anuncios maliciosos que superponen formularios falsos sobre apps financieras auténticas. En España, se recibe bajo la forma de una actualización fraudulenta del navegador, apuntando a casi todas las entidades bancarias nacionales.
Los analistas de MTI también han detectado operaciones de menor escala con objetivos globales. Argentina, Brasil, Estados Unidos, Indonesia e India aparecen como focos de envío de enlaces contaminados que imitan aplicaciones legítimas de gestión de dinero. Este despliegue segmentado permite a los cibercriminales afinar sus ganchos según el usuario y la región, aumentando las probabilidades de éxito de sus maniobras.
Por último, os dejamos una pequeña guía de seguridad cripto.