Crocodilus: El Nuevo Malware que Roba Criptomonedas en Android

Hoy en día, muchísima gente maneja sus criptomonedas desde el celular. Es práctico, rápido y todo está al alcance de un par de toques. Pero esa comodidad también trae sus riesgos, y algunos son bastante serios. Uno de los más recientes es Crocodilus, un nuevo malware para Android que no solo roba tus claves cripto, sino que puede tomar el control total de tu dispositivo sin que te des cuenta.

A diferencia de otros virus, este bicho viene con un combo peligroso: usa técnicas de ingeniería social para engañarte y pedirte la frase semilla de tu billetera, presentándose como una supuesta advertencia del sistema. Te dice que tienes que hacer una copia de seguridad de tu clave “dentro de 12 horas” o podrías perder el acceso a tu wallet. Todo falso, claro, pero muy convincente.

Detrás de Crocodilus hay una estructura bien armada. Según los investigadores de la empresa ThreatFabric, el malware se distribuye a través de un cuentagotas (dropper) personalizado que logra esquivar las medidas de seguridad de Android 13 y versiones más recientes. Incluso instala el malware sin activar Play Protect y pasa por alto las restricciones del servicio de accesibilidad, lo que le permite tener control remoto del dispositivo, recopilar información sensible y espiar al usuario sin levantar sospechas.

¿Cómo hace Crocodilus para vaciar tus cuentas?

El objetivo de Crocodilus está clarísimo: robarte las claves de tus billeteras cripto. Y lo hace de una forma bastante astuta. Cuando abres una app financiera o relacionada con criptomonedas, este malware puede mostrar una pantalla falsa por encima (como una especie de “pantalla fantasma”) que parece totalmente real.

Por ejemplo, te puede aparecer un aviso urgente diciendo que necesitás hacer una copia de seguridad de tu frase semilla (esa clave que da acceso a toda tu billetera) y que, si no lo haces en menos de 12 horas, podrías perderlo todo. Obviamente, eso genera pánico en más de uno, y ahí es donde muchos terminan cayendo y escribiendo la frase completa sin darse cuenta de que se la están dando directamente al malware.

Una vez que los atacantes tienen esa frase. Pueden vaciar tu cuenta en minutos. Pero eso no es todo. Crocodilus también puede robar códigos de autenticación, como los que generas con apps tipo Google Authenticator. Y si pensabas que eso ya era demasiado, también puede hacer cosas como desviar llamadas, mandar SMS desde tu teléfono sin que lo sepas e incluso bloquear la pantalla del celular para que no puedas hacer nada. Literalmente, te deja fuera de tu propio teléfono.

Al principio, Crocodilus empezó apuntando a usuarios de Turquía y España, y se metía incluso con cuentas bancarias locales. Por algunos mensajes que deja el propio malware durante su ejecución, todo apunta a que podría haber sido creado en Turquía… aunque eso no está 100% confirmado.

Lo que sí es seguro es que la forma en que llega a los teléfonos no siempre es clara. En la mayoría de los casos, las víctimas terminan descargando el malware sin darse cuenta, a través de sitios falsos, promociones engañosas en redes sociales, mensajes de texto con links raros o tiendas de apps que no son la oficial.

Una vez instalado, Crocodilus pide acceso al Servicio de Accesibilidad (una herramienta que, en teoría, está pensada para ayudar a personas con discapacidades), pero que en este caso se usa con fines bastante turbios. Gracias a eso, el malware puede ver lo que pasa en la pantalla, simular gestos como si estuvieras tocando el celular, y hasta espiar qué apps abres.

Solicitar el uso del Servicio de Accesibilidad del sistema

Este malware viene cargado de funciones. El "bot" que tiene adentro puede ejecutar hasta 23 comandos diferentes en el dispositivo. Algunos de los más preocupantes incluyen:

1. Activar el desvío de llamadas

2. Abrir apps específicas

3. Mostrar notificaciones push falsas

4. Mandar SMS a todos tus contactos (o a uno puntual)

5. Leer mensajes de texto que recibís

6. Pedir privilegios de administrador del teléfono

7. Mostrar una pantalla negra para ocultar lo que está pasando

8. Silenciar el sonido del dispositivo

9. Bloquear la pantalla para que no puedas usar el celular

10. Convertirse en el gestor principal de SMS

Además, funciona como un troyano de acceso remoto (RAT), lo que significa que los atacantes pueden manejar tu teléfono a distancia: tocar la pantalla, deslizar, navegar por las apps, todo como si lo tuvieran en sus manos.

Mientras todo esto ocurre, Crocodilus puede ocultar su actividad mostrando una pantalla completamente negra y silenciando el teléfono, así la víctima piensa que está bloqueado o que no pasa nada raro.

Por ahora, este malware ha estado apuntando principalmente a usuarios en España y Turquía, pero no sería raro que pronto amplíe su alcance y empiece a apuntar a más países y aplicaciones.

Podría interesarte leer: Nuevo Malware en Android usa .NET MAUI para Evadir la Detección

¿Cómo puedes protegerte?

Como suele pasar en temas de seguridad, lo mejor es prevenir antes de que sea demasiado tarde. Aquí te dejamos unos tips fáciles pero muy útiles para mantener tu celular (y tus cripto) bien protegidos:

1. Instala apps solo desde fuentes confiables: Evita descargar aplicaciones desde sitios raros o enlaces que ves por ahí. Usa la Play Store y, si puedes, échale un ojo a las reseñas antes de instalar algo.
   
   
2. Cuidado con los enlaces sospechosos: Si te llega un mensaje de texto o un correo con un link medio extraño, mejor no le des clic. Aunque parezca real, más vale desconfiar.
   
   
3. Pon atención a los permisos que te piden las apps: Si una app te pide activar accesibilidad y no tiene nada que ver con eso, no se lo permitas. Ese permiso puede darle muchísimo control sobre tu teléfono.
   
   
4. Activa la verificación en dos pasos: Agrega una capa extra de seguridad con códigos por SMS o usando apps como Google Authenticator. Nunca está de más.
   
   
5. Y si tu celular empieza a portarse raro: ¿Se traba, se calienta sin razón o ves notificaciones que no deberían estar ahí? Mejor apágale el WiFi o ponlo en modo avión y revisa con calma si hay algo que no reconozcas. Puede que te esté avisando de que algo anda mal.

Conclusión

Crocodilus no es un malware cualquiera: es una amenaza real, silenciosa y muy bien diseñada para robar lo más valioso de tus billeteras digitales. Aprovecha descuidos, permisos mal otorgados y tácticas de engaño para tomar control de tu dispositivo y vaciar tus cuentas en cuestión de minutos.

Hasta ahora, los casos detectados se han concentrado en España y Turquía, pero eso no significa que otros países estén libres de riesgo. Al contrario, este tipo de malware puede expandirse rápidamente, adaptarse y empezar a atacar en otras regiones sin previo aviso. Por eso, es mejor estar preparados desde ya.

La mejor forma de protegerte es estar informado y tomar precauciones desde el principio. No se trata de vivir con miedo, sino de usar la tecnología con conciencia. Instala apps solo desde fuentes confiables, revisa bien los permisos que das y mantén siempre activadas las medidas de seguridad que tienes a la mano.