El troyano bancario Crocodilus ha emergido como una de las variantes de malware más agresivas del momento, extendiéndose con rapidez más allá de sus territorios iniciales. Con nuevas funcionalidades específicas para el robo de criptomonedas y acceso no autorizado a aplicaciones bancarias, Crocodilus ya no es una amenaza localizada, es un problema global.
Detectado por primera vez en marzo de 2025, este malware se ha propagado inicialmente en Turquía, disfrazándose de aplicaciones falsas, como casinos online o herramientas bancarias simuladas.
Desde entonces y en apenas unos meses, su alcance y capacidades han evolucionado drásticamente, adaptándose a nuevas regiones, estrategias y dispositivos.
Las campañas más recientes indican una ampliación significativa del objetivo de Crocodilus. Ahora está activo en países como España, Polonia, Argentina, Brasil, India, Indonesia y Estados Unidos, según el equipo de Inteligencia de Amenazas Móviles de ThreatFabric.
Esto marca una clara intención de los desarrolladores del malware de capturar una mayor cuota del ecosistema financiero mundial.
Así actúa el malware Crocodilus: ataques dirigidos y técnicas avanzadas de distribución
Uno de los métodos más efectivos que ha utilizado el malware en sus últimas campañas ha sido la difusión mediante anuncios falsos en redes sociales. En una operación reciente, usuarios polacos fueron engañados con aplicaciones de fidelización promocionadas en Facebook. Al acceder al anuncio, se les redirigía a un sitio malicioso que desplegaba el dropper de Crocodilus, eludiendo las protecciones de Android 13 y versiones superiores.
Los datos de transparencia de Facebook revelaron que estos anuncios alcanzaron a miles de personas en apenas unas horas, apuntando especialmente a usuarios mayores de 35 años. Esta táctica demuestra la capacidad del malware para infiltrarse mediante plataformas populares y generar infecciones masivas con rapidez.
Una vez que el malware se instala en el dispositivo, despliega una serie de mecanismos para superponer pantallas falsas sobre aplicaciones legítimas. Esto permite capturar credenciales bancarias o claves de acceso a criptomonedas sin que el usuario se percate. En España, incluso ha suplantado supuestas actualizaciones de navegadores web, alcanzando a la mayoría de entidades financieras principales.
Nuevas funciones dirigidas al robo financiero
Las últimas versiones de Crocodilus han incorporado funcionalidades especialmente diseñadas para explotar vulnerabilidades en aplicaciones de finanzas. Una mejora destacada es su capacidad de modificar la lista de contactos del teléfono infectado. De esta forma, los atacantes introducen entradas falsas como «Soporte bancario», que pueden emplearse en campañas de ingeniería social.
Otra novedad clave es un sistema de extracción automatizada de frases semilla, el cual está optimizado para trabajar con billeteras cripto. Esta funcionalidad permite capturar y procesar rápidamente las claves privadas, facilitando el acceso a fondos y activos digitales.
Refuerzo técnico del malware y resistencia a la detección
A nivel de arquitectura, Crocodilus ha sido reforzado con capas adicionales de protección que dificultan su análisis. Entre estas mejoras se encuentra el uso de cifrado XOR, empaquetado complejo del código y una estructura interna diseñada para resistir intentos de ingeniería inversa.
Los investigadores de ThreatFabric también detectaron campañas más pequeñas focalizadas en aplicaciones de minería cripto y bancos digitales con presencia europea. Según los expertos, esta expansión temática indica un alto grado de adaptabilidad del malware para explotar cualquier oportunidad dentro del ecosistema financiero digital.
La economía del malware y el auge de los crypto drainers
En paralelo a la evolución técnica de Crocodilus, se ha documentado un fenómeno preocupante: la comercialización de herramientas similares en modelos de software como servicio.
Según AMLBot, empresa de análisis forense en el sector cripto, cada vez es más fácil para delincuentes sin conocimientos avanzados alquilar un drainer por tan solo 100 a 300 USDT.
Este modelo de negocio ha democratizado el acceso al cibercrimen financiero, multiplicando las amenazas en entornos digitales donde la seguridad sigue siendo una asignatura pendiente.
En mayo de 2025, se descubrió que el fabricante chino Procolored distribuyó malware para el robo de bitcoins junto a los controladores de sus impresoras oficiales, lo que demuestra cómo estas herramientas están penetrando incluso canales legítimos.
El caso de Crocodilus representa un ejemplo claro del malware en su etapa más evolucionada: multifuncional, distribuido por redes sociales, dirigido a públicos específicos y capaz de adaptarse rápidamente a nuevos contextos.
