AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Nueva variante de Crocodilus para Android añade contactos falsos para reforzar sus campañas de fraude**

admin

### 1. Introducción

El panorama de amenazas móviles sigue evolucionando a un ritmo acelerado, y el malware dirigido a dispositivos Android se posiciona a la cabeza en cuanto a volumen y sofisticación. En este contexto, investigadores de ciberseguridad han identificado una nueva versión del troyano bancario Crocodilus, que introduce una táctica inédita: la creación de contactos falsos en la agenda del dispositivo infectado. Este mecanismo innovador busca potenciar la eficacia de las campañas de ingeniería social y fraude financiero, dificultando la detección y mitigación por parte de usuarios y profesionales de seguridad.

### 2. Contexto del Incidente o Vulnerabilidad

Crocodilus es un malware para Android activo desde mediados de 2023, clasificado como un troyano bancario con capacidades de acceso remoto (RAT) y robo de credenciales. Tradicionalmente, se propaga a través de aplicaciones falsas distribuidas fuera de Google Play, campañas de smishing y técnicas de sideloading. Su objetivo principal es interceptar comunicaciones bancarias, robar datos financieros y facilitar fraudes mediante la manipulación directa del dispositivo.

La aparición de esta nueva variante representa un salto cualitativo en la persistencia y el camuflaje del malware, que ahora recurre a la manipulación del sistema de contactos para engañar a la víctima y dificultar la detección por parte de soluciones antimalware y usuarios avanzados.

### 3. Detalles Técnicos

La versión actual de Crocodilus incorpora una funcionalidad que, tras la infección inicial, añade un contacto ficticio en la agenda del teléfono. Este contacto suele tener un nombre legítimo o relacionado con la entidad bancaria objetivo, acompañado de un número de teléfono controlado por los atacantes. Así, el malware puede interceptar o suplantar comunicaciones legítimas, simulando mensajes o llamadas procedentes de la supuesta entidad de confianza.

**Vectores de ataque y TTP (MITRE ATT&CK):**
– **T1476 (Deliver Malicious App via Other Means):** Distribución a través de APKs fraudulentos y enlaces de smishing.
– **T1409 (Hijack Execution Flow):** Manipulación del flujo de ejecución mediante permisos de accesibilidad.
– **T1412 (Capture SMS):** Intercepción de SMS para eludir sistemas de autenticación en dos factores (2FA).
– **T1417 (Input Capture):** Keylogging y grabación de credenciales bancarias.

**Indicadores de Compromiso (IoC):**
– Presencia de aplicaciones no verificadas con permisos excesivos.
– Creación de contactos recientes con números internacionales o nombres bancarios genéricos.
– Tráfico de red cifrado dirigido a servidores C2 ubicados en Europa del Este y Asia Central.

**Versiones afectadas:** Android 7.0 y superiores (aunque el vector de infección depende de la concesión de permisos por parte del usuario).

Hasta la fecha, no se ha reportado un exploit funcional en frameworks públicos como Metasploit, pero se han detectado scripts de automatización para la distribución masiva del APK en canales de Telegram y foros clandestinos.

### 4. Impacto y Riesgos

Este nuevo mecanismo incrementa notablemente el riesgo para las víctimas, ya que el contacto falso puede utilizarse para:
– **Simular comunicaciones oficiales** y suplantar identidades de entidades financieras o de soporte técnico.
– **Facilitar el phishing por SMS o llamada** (vishing), explotando la confianza depositada en la agenda de contactos.
– **Interferir en los sistemas de autenticación**, interceptando o reenviando códigos 2FA.

Según estimaciones de firmas de seguridad, Crocodilus ha afectado a más de 50.000 dispositivos en Europa y Latinoamérica durante el primer trimestre de 2024, con pérdidas financieras asociadas que superan los 2 millones de euros. Las entidades sujetas al RGPD y la inminente NIS2 podrían enfrentarse a sanciones si no refuerzan sus medidas de protección y respuesta ante este tipo de infecciones.

### 5. Medidas de Mitigación y Recomendaciones

Para minimizar el impacto y prevenir infecciones por Crocodilus, los expertos recomiendan:

– **Restringir la instalación de aplicaciones** únicamente a fuentes oficiales como Google Play.
– **Desplegar soluciones EDR para dispositivos móviles** capaces de detectar la creación anómala de contactos y el uso abusivo de permisos de accesibilidad.
– **Auditar periódicamente la agenda de contactos** en dispositivos corporativos y personales.
– **Monitorizar logs de red y eventos sospechosos** relacionados con el tráfico a servidores C2 identificados.
– **Formar a los usuarios** en la detección de intentos de phishing vía SMS o llamadas inesperadas desde contactos aparentemente legítimos.

### 6. Opinión de Expertos

Analistas de amenazas de Kaspersky y ESET coinciden en que la manipulación del sistema de contactos representa una evolución preocupante en el arsenal de los troyanos móviles. “La integración de técnicas de ingeniería social automatizada, como la generación de contactos falsos, eleva la tasa de éxito de los ataques y complica la labor de detección manual”, señala Luis Corrons, Security Evangelist de Avast. “Las soluciones tradicionales de antivirus móvil pueden no estar preparadas para identificar este tipo de persistencia sutil”, advierten desde el CERT de España.

### 7. Implicaciones para Empresas y Usuarios

El uso creciente de dispositivos personales (BYOD) en entornos corporativos amplifica el riesgo de propagación de Crocodilus, facilitando el salto a infraestructuras críticas mediante cuentas comprometidas o accesos remotos. Las organizaciones deben revisar sus políticas de gestión de movilidad, reforzar la monitorización de dispositivos y actualizar sus procedimientos de respuesta ante incidentes para incluir escenarios de suplantación de contactos.

Para los usuarios, la recomendación es clara: desconfíar de cualquier comunicación bancaria no solicitada y verificar siempre la autenticidad de los mensajes, incluso si parecen proceder de contactos de confianza.

### 8. Conclusiones

La nueva variante de Crocodilus pone de manifiesto la rápida adaptación del malware móvil a los mecanismos de defensa tradicionales, incorporando tácticas de manipulación social cada vez más sofisticadas. La vigilancia proactiva, la educación continua y el despliegue de herramientas avanzadas de seguridad se perfilan como elementos clave para contrarrestar estas amenazas en constante evolución.

(Fuente: www.bleepingcomputer.com)