Crecen los ataques con el troyano bancario Crocodilus: nuevas técnicas de evasión y foco en Europa y Sudamérica

Introducción

En los últimos meses, el ecosistema de amenazas móviles ha sido testigo de un notable aumento en las campañas maliciosas que emplean el troyano bancario Crocodilus. Este malware, relativamente reciente en el panorama de amenazas para Android, ha evolucionado rápidamente, incorporando técnicas avanzadas de ofuscación y capacidades que dificultan su detección y análisis. Según un informe publicado por ThreatFabric, Crocodilus está siendo utilizado de manera activa para atacar a usuarios en Europa y Sudamérica, con un creciente impacto sobre entidades financieras y usuarios particulares.

Contexto del Incidente o Vulnerabilidad

Crocodilus fue identificado por primera vez a finales de 2023, y desde entonces ha protagonizado múltiples campañas de ingeniería social, principalmente mediante aplicaciones maliciosas distribuidas fuera de Google Play Store. Su despliegue inicial se centró en países sudamericanos, pero en los últimos meses se ha documentado una expansión significativa hacia países europeos, especialmente España, Italia y Alemania. Las campañas se caracterizan por el uso de técnicas de smishing, phishing y falsas actualizaciones de aplicaciones bancarias, lo que permite a los atacantes superar los controles de seguridad tradicionales.

Detalles Técnicos

El troyano Crocodilus explota permisos de accesibilidad (Android Accessibility Services) para manipular la interfaz de usuario y realizar acciones automatizadas en el dispositivo comprometido. Según ThreatFabric, Crocodilus está asociado con campañas que emplean los siguientes TTP del marco MITRE ATT&CK:

– **T1407 (Input Capture):** Captura de pulsaciones y datos introducidos por el usuario.
– **T1436 (Masquerade as Legitimate Application):** Suplantación de aplicaciones legítimas.
– **T1412 (Capture SMS):** Intercepción de mensajes SMS, facilitando el robo de credenciales y códigos MFA.

Entre las versiones afectadas se encuentran dispositivos Android 8.0 y superiores, aprovechando la fragmentación del ecosistema y la ausencia de actualizaciones de seguridad en terminales antiguos. El malware ha incorporado un novedoso sistema de ofuscación basado en técnicas de code-flattening y cifrado dinámico de strings, dificultando la ingeniería inversa y la detección mediante soluciones antimalware tradicionales.

Una funcionalidad destacada de Crocodilus es la capacidad de crear nuevos contactos en la agenda del dispositivo, lo que le permite propagar enlaces maliciosos a través de mensajes automatizados (SMS o WhatsApp), ampliando su radio de infección. Se han identificado indicadores de compromiso (IoC) como dominios C2, hashes de APK y patrones de tráfico anómalo asociados al malware.

Impacto y Riesgos

El impacto de las campañas con Crocodilus es significativo. Se estima que, solo en el primer trimestre de 2024, más de 35 entidades bancarias europeas han sido objetivo de ataques indirectos, y al menos 50.000 dispositivos han sido infectados entre Europa y Sudamérica. Las pérdidas económicas derivadas de transferencias fraudulentas y robo de credenciales bancarias superan los 7 millones de euros, según datos recopilados por los CERT regionales.

Además de las pérdidas financieras, las organizaciones afectadas enfrentan riesgos legales asociados al incumplimiento del GDPR y la inminente normativa NIS2, especialmente en lo relativo a la protección de datos personales y la notificación de incidentes de seguridad.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo asociado a Crocodilus, se recomienda:

1. **Actualización de dispositivos y aplicaciones:** Mantener el sistema operativo Android y todas las aplicaciones actualizadas con los últimos parches de seguridad.
2. **Restricción de permisos de accesibilidad:** Auditar y limitar el acceso a los servicios de accesibilidad únicamente a aplicaciones de confianza.
3. **Implementación de EDR para móviles:** Utilizar soluciones avanzadas de detección y respuesta para endpoints móviles capaces de identificar comportamientos anómalos.
4. **Concienciación y formación:** Informar a los usuarios sobre los riesgos del smishing y la descarga de aplicaciones fuera de canales oficiales.
5. **Monitorización de IoC:** Integrar los indicadores de compromiso identificados en los sistemas SIEM y plataformas de threat intelligence.

Opinión de Expertos

Expertos de ThreatFabric y analistas de diferentes SOC europeos coinciden en que Crocodilus representa una evolución preocupante en el malware bancario móvil. “La adopción de técnicas avanzadas de ofuscación y la capacidad de propagación automatizada suponen un desafío adicional para los equipos de defensa”, afirma Marta Jiménez, analista de amenazas en un banco español. Además, la rápida adaptación del malware a nuevos controles de seguridad hace imprescindible una revisión constante de las estrategias de protección.

Implicaciones para Empresas y Usuarios

El incremento de campañas con Crocodilus subraya la necesidad de robustecer las defensas en el ámbito móvil, tanto para usuarios particulares como para organizaciones financieras. Las empresas deben actualizar sus políticas de gestión de dispositivos móviles (MDM), fortalecer la autenticación multifactor y establecer canales seguros de comunicación con sus clientes. Los usuarios, por su parte, deben extremar la precaución ante mensajes sospechosos y evitar instalar aplicaciones de fuentes no verificadas.

Conclusiones

Crocodilus ejemplifica la sofisticación creciente del malware bancario para Android y su capacidad de adaptación a los controles de seguridad y tendencias del mercado. La colaboración entre equipos de ciberseguridad, la actualización continua de tecnologías defensivas y la concienciación del usuario final serán determinantes para contener el impacto de estas amenazas emergentes en el sector financiero europeo y sudamericano.

(Fuente: feeds.feedburner.com)