Es posible que tu Android ya esté infectado: Crocodilus ha emergido de las sombras y cobra fuerza

El troyano bancario Crocodilus, detectado por primera vez en marzo de 2025, se está expandiendo rápidamente más allá de sus objetivos iniciales y se propaga por Europa y América del Sur. Según un informe de la empresa ThreatFabric, el malware se ha vuelto técnicamente más sofisticado, ha adquirido nuevas funciones y se utiliza activamente en campañas a gran escala dirigidas a usuarios de Android.

Originalmente, Crocodilus se hacía pasar por aplicaciones como Google Chrome y atacaba a residentes de Turquía y España mediante ventanas superpuestas para robar credenciales de acceso a apps bancarias. Sin embargo, ahora la geografía del malware se ha ampliado considerablemente: se han registrado ataques dirigidos en Polonia, Argentina, Brasil, India, Indonesia y EE. UU. Mientras tanto, los ataques en Turquía y España continúan, pero han adoptado nuevos escenarios: en un caso el malware se difunde como una actualización del navegador, en otro, como un casino en línea.

Las campañas en Polonia son especialmente destacadas: los atacantes publican anuncios falsos en la red social Facebook, haciéndose pasar por bancos y tiendas en línea conocidas. Los usuarios engañados son redirigidos a un sitio web malicioso donde se les ofrece descargar una aplicación para obtener bonificaciones. En realidad, lo que se descarga es un dropper de Crocodilus.

Una de las nuevas funciones del troyano es la capacidad de añadir un contacto falso a la agenda del dispositivo infectado mediante el comando «TRU9MMRHBCRO». Los investigadores sospechan que este mecanismo sirve para eludir una nueva protección de Android que alerta sobre posibles fraudes al ejecutar aplicaciones bancarias en modo de pantalla compartida. El contacto añadido, con un nombre como «Soporte bancario», permite a los atacantes llamar a la víctima y parecer un servicio legítimo, eludiendo así los sistemas antifraude que identifican números desconocidos.

Además, en las versiones recientes de Crocodilus se ha añadido una función de recolección automática de frases semilla y claves privadas de monederos de criptomonedas. Esto se implementa mediante un analizador especial capaz de extraer dichos datos de las interfaces de monederos populares, utilizando los permisos de accesibilidad de Android. Una vez capturada la información, los atacantes obtienen acceso directo a los criptoactivos de la víctima.

Asimismo, el malware ahora emplea técnicas avanzadas de ofuscación, lo que dificulta su análisis y detección por soluciones antivirus. Todo esto indica que Crocodilus no solo está siendo activamente mantenido, sino que evoluciona rápidamente y se vuelve cada vez más peligroso. Según los especialistas de ThreatFabric, los usuarios ya enfrentan una amenaza no regional, sino global.