El malware Crocodilus en Android toma el control total del dispositivo para vaciar billeteras de criptomonedas

• Crocodilus abusa de los Servicios de Accesibilidad de Android para leer frases de recuperación, registrar pulsaciones y realizar transferencias tras desbloqueo biométrico
• El malware apareció por primera vez en Turquía en marzo de 2025 y se expandió rápidamente a Europa, Sudamérica, India e Indonesia a mediados de 2025
• La distribución se realiza mediante anuncios maliciosos, aplicaciones falsas de monedero y páginas de actualización de navegador falsificadas que ofrecen recompensas o bonos

Crocodilus, una familia de malware para Android que se identificó por primera vez en marzo de 2025, ha evolucionado para dirigirse a monederos de criptomonedas explotando permisos del sistema para obtener control operativo completo sobre los dispositivos infectados. Las últimas variantes del malware pueden robar frases de recuperación, ejecutar acciones remotas y vaciar activos directamente desde aplicaciones de monedero móvil.

El malware opera abusando de los Servicios de Accesibilidad de Android y permisos de superposición para leer texto en pantalla, observar interfaces de aplicaciones, registrar pulsaciones y interceptar contraseñas de un solo uso de herramientas de autenticación, según 1inch. Combinado con su módulo de acceso remoto, los atacantes pueden operar teléfonos comprometidos como si los tuvieran en mano físicamente.

Control remoto permite el robo de activos tras desbloqueo

Una vez que un monedero está desbloqueado mediante cualquier método, incluido biométrico, Crocodilus puede abrir aplicaciones, navegar por interfaces e iniciar transferencias sin intervención del usuario. Algunas variantes muestran solicitudes falsas de respaldo del monedero diseñadas para imitar estrechamente interfaces legítimas, engañando a los usuarios para que vuelvan a ingresar sus frases de recuperación. Cuando se ingresan en un dispositivo infectado, los atacantes reciben las credenciales al instante y obtienen control permanente sobre los activos.

El malware ha desarrollado capacidades sofisticadas de ingeniería social. Algunas versiones crean contactos falsos de soporte que imitan a proveedores de monederos o intercambios. Si una víctima nota actividad inusual y intenta contactar con soporte, puede llegar sin saberlo al atacante, quien luego la manipula para que revele información sensible adicional o apruebe acciones maliciosas.

Expansión global rápida desde el descubrimiento en marzo

Crocodilus apareció por primera vez en Turquía durante campañas de prueba en marzo de 2025. En semanas, las operaciones se expandieron a España y Polonia, y para mediados de 2025, el malware estaba activo en partes de Sudamérica, India, Indonesia y regiones aisladas en Estados Unidos, según ThreatFabric.

El malware se propaga principalmente a través de anuncios maliciosos, incluidos en Facebook. En Polonia, se mostraron más de 1,000 anuncios que imitaban plataformas bancarias y de comercio electrónico en una o dos horas, dirigidos a usuarios mayores de 35 años. Otros métodos de distribución incluyen aplicaciones falsas de monedero y páginas de descarga falsificadas que parecen actualizaciones de navegador o herramientas de criptomonedas.

Los investigadores de seguridad recomiendan evitar archivos APK desconocidos y revisar qué aplicaciones tienen habilitados los permisos de Servicios de Accesibilidad. Las aplicaciones legítimas de monedero, intercambios y autenticadores no requieren acceso completo. Los usuarios nunca deben volver a ingresar frases de recuperación en dispositivos móviles a menos que realicen una recuperación legítima, ya que las solicitudes inesperadas suelen indicar fraude. Si se sospecha de una infección, los usuarios deben desconectar inmediatamente el dispositivo y mover cualquier activo restante a un entorno limpio o a una cartera de hardware.