El equipo de Inteligencia de Amenazas Móviles (MTI) de Threat Fabric ha advertido a los usuarios de criptomonedas sobre una nueva variante del malware móvil Crocodilus, ahora equipada con un colector automatizado de frases semilla.
'Malware 'Crocodilus' roba frases semilla, apunta a usuarios de criptomonedas en todo el mundo
ESCRITO POR
COMPARTIR
El Malware Presenta un Analizador de Recolección de Frases Semilla
El equipo de Inteligencia de Amenazas Móviles (MTI) de Threat Fabric ha emitido una advertencia a los usuarios de criptomonedas sobre una nueva variante del malware móvil, Crocodilus, que ahora incluye un colector automatizado de frases semilla. Identificado originalmente en marzo, se informa que este malware está expandiendo su lista de objetivos desde países europeos para incluir a usuarios en América del Sur.
En su último blog, el equipo de MTI declaró que la nueva variante de Crocodilus apunta específicamente a aplicaciones de billeteras de criptomonedas. Lo que hace que esta variante sea particularmente preocupante es su analizador adicional, que ayuda a extraer frases semilla y claves privadas de billeteras específicas.
A pesar de seguir basándose en la función de registro de accesibilidad presente en variantes anteriores, el malware actualizado incluye un procesamiento previo mejorado de los datos registrados en pantalla. Esta mejora permite la extracción de datos en un formato específico utilizando expresiones regulares antes de que se muestren.
“En nuestro blog anterior sobre Crocodilus, destacamos el interés de los ciberdelincuentes en las billeteras de criptomonedas, ya que hacían que las víctimas abrieran las aplicaciones de billetera para robar los datos mostrados en la pantalla”, explicó el equipo. “Con un análisis adicional realizado en el lado del dispositivo, los actores de la amenaza reciben datos preprocesados de alta calidad, listos para usar en operaciones fraudulentas como la toma de control de cuentas, apuntando a los activos de criptomonedas de las víctimas.”
Más allá del analizador adicional, el malware actualizado presenta una capacidad que permite a los ciberdelincuentes modificar la lista de contactos en un dispositivo infectado. El equipo de MTI sospecha que esta característica permite a los atacantes añadir un número de teléfono bajo un nombre convincente, como “Soporte Bancario”. Este contacto podría luego ser utilizado para llamar a la víctima mientras parece legítimo, potencialmente eludiendo las medidas de prevención de fraude que marcan números desconocidos.
Según el equipo de MTI, Crocodilus está llevando a cabo campañas cibernéticas activamente en Turquía y España, apuntando a usuarios de grandes bancos y plataformas de criptomonedas. En Turquía, se disfraza como un casino en línea y se extiende a través de anuncios maliciosos, superponiendo páginas de inicio de sesión falsas sobre aplicaciones financieras.
En España, se distribuye como una actualización de navegador falsa, apuntando a casi todos los bancos españoles. También se han detectado campañas más pequeñas con objetivos globales, que afectan aplicaciones en Argentina, Brasil, EE.UU., Indonesia e India, agregó el equipo.
