Nueva amenaza de seguridad en Android: así es el malware que va tras las cuentas bancarias

Una amenaza que ya había sido detectada en marzo de 2025, llamada Crocodilus, ha regresado para afectar a los usuarios de Android. Este es un malware bancario que busca robar datos personales para acceder a las cuentas.

Este troyano ha afectado principalmente a dispositivos en Europa, Sudamérica y Asia, vaciado de cuentas bancarias y billeteras de criptomonedas en cuestión de minutos.

A diferencia de otras amenazas previas como Anatsa o Medusa, Crocodilus presenta una estructura altamente sofisticada. No se trata de una simple variante de antiguos virus, sino de una cepa desarrollada con métodos modernos y una estrategia precisa de ataque.

El equipo de MTI ThreatFabric, responsable del descubrimiento inicial, resalta que este malware exhibe una madurez técnica poco frecuente, lo que le otorga la capacidad de evadir numerosas barreras de seguridad tradicionales presentes en sistemas Android.

Crocodilus se propaga principalmente a través de campañas de publicidad engañosa en redes sociales, mensajes SMS maliciosos y páginas web fraudulentas. Una de las técnicas más recurrentes consiste en promocionar aplicaciones falsas —como programas de fidelización o casinos en línea— utilizando anuncios en plataformas como Facebook.

Esta táctica ha demostrado ser especialmente efectiva en países como Polonia, España y Argentina, donde la viralización de las campañas permitió alcanzar a miles de usuarios en cuestión de horas.

Una vez que el usuario instala la aplicación infectada, el malware solicita permisos de accesibilidad diseñados originalmente para facilitar el uso a personas con discapacidad, pero que en manos de Crocodilus se convierten en el punto de entrada para obtener control remoto sobre el dispositivo.

Esta función permite que los atacantes superpongan pantallas falsas (“overlays”) sobre aplicaciones bancarias o de criptomonedas legítimas, logrando engañar al usuario con notificaciones que simulan actualizaciones vitales o avisos de seguridad apremiantes.

Según ha detallado la empresa ThreatFabric, uno de los mecanismos más utilizados por Crocodilus consiste en mostrar al usuario notificaciones falsas para que realice una copia de seguridad urgente de su “frase semilla” —la clave fundamental para acceder a las billeteras cripto—, bajo la amenaza de perder el acceso en 12 horas si no se sigue el procedimiento.

Al responder a estos mensajes, las víctimas entregan inadvertidamente la información más sensible, habilitando a los atacantes para vaciar sus cuentas en minutos.

En una segunda fase de su desarrollo, Crocodilus ha evolucionado incorporando herramientas que incrementan el alcance y la persistencia de los ataques. Entre ellas destaca la capacidad de modificar la lista de contactos del dispositivo, insertando números de teléfono etiquetados como “Soporte bancario”.

Este recurso permite articular complejas maniobras de ingeniería social, usando números aparentemente legítimos para obtener aún más datos confidenciales.

Además, Crocodilus ha incorporado un recolector automático de frases semilla y claves privadas, dirigido expresamente a aplicaciones de criptomonedas populares. Estas funcionalidades se apoyan en un refuerzo de los métodos de ofuscación del código, incluyendo cifrados adicionales y lógica interna diseñada para complicar la labor de los analistas forenses y dificultar la ingeniería inversa del malware.

De esta forma, el éxito y la peligrosidad de este malware radican en la combinatoria de técnicas de control remoto, capacidad para enviar y recibir mensajes SMS desde dispositivos infectados, interceptar llamadas y bloquear la pantalla del móvil, impidiendo así que la víctima recupere rápidamente el control.

Su grado de sofisticación deja obsoletos los métodos tradicionales de detección, normalmente basados en la identificación de firmas o patrones de código malicioso.

Aunque la sofisticación técnica de este malware representa un desafío, adoptar una serie de buenas prácticas puede reducir sustancialmente el riesgo de infección. Los especialistas y firmas como ThreatFabric recomiendan:

• Descargar aplicaciones exclusivamente desde Play Store y verificar las reseñas y desarrolladores antes de instalar.
• Evitar abrir enlaces desconocidos recibidos por mensajes SMS o correos electrónicos no solicitados.
• Revisar los permisos solicitados por las aplicaciones, especialmente si piden acceso a funciones de accesibilidad sin justificación aparente.
• Activar la autenticación multifactor para las cuentas bancarias y de criptomonedas, empleando métodos alternativos como códigos de un solo uso generados por aplicaciones seguras.
• Mantener el sistema operativo y las app actualizadas, ya que las empresas tecnológicas implementan parches de seguridad de forma regular.
• Desconectar el dispositivo de Internet y analizarlo si se detectan comportamientos inusuales, como notificaciones extrañas o ralentización inesperada.