La nueva versión del malware para Android Crocodilus viene con una táctica bastante astuta: ahora puede agregar contactos falsos en tu agenda para que, cuando recibas una llamada, creas que es alguien de confianza… cuando en realidad es el atacante. Esta no es la única novedad. También han sumado varias mejoras pensadas para que el malware pase desapercibido, ya que todo apunta a que están ampliando sus ataques a nivel global.
Crocodilus se Expande por el Mundo
Al principio, Crocodilus era un malware que apenas aparecía en campañas pequeñas y localizadas, como en Turquía. Sus tácticas eran bastante básicas: por ejemplo, mostraba mensajes falsos advirtiendo al usuario que hiciera una copia de seguridad de su clave de criptomonedas “antes de 12 horas o perdería el acceso”. Era un intento simple de ingeniería social.
Pero eso quedó en el pasado. Hoy, Crocodilus se ha vuelto mucho más sofisticado y se está expandiendo a nivel global, con actividad reportada en distintos continentes.
Mapa de calor de las víctimas recientes de Crocodilus (Fuente: Threat Fabric)
Las nuevas versiones del malware muestran avances importantes. Por un lado, ahora es mucho más difícil de detectar: esconde su código dentro del instalador (el “dropper”), lo cifra con técnicas como XOR y ha empezado a usar métodos de ofuscación complejos que hacen casi imposible desarmarlo o analizarlo.
Además, ha mejorado su forma de robar información. Antes simplemente enviaba los datos capturados al atacante, pero ahora analiza esa información directamente en el dispositivo infectado antes de enviarla, lo que permite una recolección más selectiva y “limpia”. En resumen, es más inteligente y mucho más peligroso que en sus inicios.
Podría interesarte leer: EddieStealer: Nuevo Malware que Roba Datos del Navegador de Chrome
Contactos falsos: La nueva trampa de Crocodilus
Una de las cosas más inquietantes que hace la nueva versión del malware Crocodilus es crear contactos falsos directamente en tu teléfono. Sí, así como suena. El malware puede añadir nombres a tu agenda que en realidad no agregaste tú, y todo para que, cuando te llamen, veas un nombre familiar en lugar de un número desconocido.
¿Te imaginas recibir una llamada de alguien que aparece como “Asistencia Bancaria” o incluso con el nombre de un familiar, pero que en realidad es el atacante? Eso es exactamente lo que busca lograr Crocodilus: hacer que confíes en la llamada y bajes la guardia.
Fragmento de JS para crear un nuevo contacto en el dispositivo
Este truco se activa mediante un comando especial que el malware recibe. Cuando lo ejecuta, usa una función del sistema Android (una API llamada ContentProvider) para agregar automáticamente ese contacto falso a tu lista.
Lo más preocupante es que estos contactos no están vinculados a tu cuenta de Google. Eso significa que no se sincronizan con tus otros dispositivos, lo que hace que el engaño sea aún más difícil de detectar.
Todo esto demuestra que Crocodilus se está volviendo cada vez más astuto. Le está apostando fuerte a la ingeniería social, una técnica que se basa en engañar directamente al usuario en lugar de simplemente robar datos en silencio. Y eso lo hace aún más peligroso.
¿Cómo protegerte?
Si usas Android, hay algunas cosas básicas que puedes hacer para evitar caer en este tipo de trampas:
-
Descarga apps solo desde Google Play o fuentes confiables.
-
Activa Google Play Protect para que tu dispositivo pueda detectar apps sospechosas.
-
No instales más aplicaciones de las que realmente necesitas. Cuantas menos tengas, menos oportunidades para los atacantes.
