Malware Crocodilus para Android evolui com técnicas avançadas para fraudes bancárias e criptomoedas

O trojan bancário Crocodilus, voltado para dispositivos Android, tem ganhado força em campanhas cada vez mais sofisticadas que atingem usuários na Europa, América do Sul e Ásia. De acordo com um novo relatório publicado pela empresa de cibersegurança holandesa ThreatFabric, o malware não apenas se espalhou geograficamente, mas também evoluiu tecnicamente, adotando novos recursos que dificultam sua detecção e aumentam sua capacidade de fraude financeira.

Originalmente detectado em março de 2025 na Espanha e na Turquia, o Crocodilus se disfarça como aplicativos legítimos — como o Google Chrome — e utiliza ataques de sobreposição para capturar credenciais em aplicativos financeiros. Além disso, o malware explora permissões de acessibilidade do Android para roubar frases-semente de carteiras de criptomoedas, comprometendo ativos virtuais armazenados nelas. Recentemente, suas campanhas atingiram também Polônia, Argentina, Brasil, Índia, Indonésia e Estados Unidos.

A ThreatFabric revelou que o malware vem sendo distribuído por meio de anúncios falsos no Facebook, que imitam bancos e lojas online para enganar vítimas com promessas de bônus ou atualizações de software. Ao clicar nos anúncios, os usuários são levados a sites maliciosos que instalam o Crocodilus nos dispositivos. Em alguns casos, o trojan simula atualizações de navegador ou aplicativos de cassino online para disfarçar sua verdadeira natureza.

As variantes mais recentes do Crocodilus incorporaram técnicas de ofuscação avançadas para dificultar análises técnicas e introduziram funcionalidades inéditas. Um dos novos comandos permite adicionar um contato na agenda da vítima com um nome convincente — como “Suporte Bancário” — para facilitar ligações fraudulentas. A estratégia parece ser uma resposta às proteções introduzidas pelo Google, que alertam os usuários ao compartilharem a tela com números desconhecidos durante transações bancárias.

Outro recurso inédito é um coletor automático de frases-semente, capaz de identificar e extrair chaves privadas de carteiras de criptomoedas específicas. Segundo a ThreatFabric, a contínua evolução do Crocodilus — tanto em termos de engenharia quanto de cobertura geográfica — revela um esforço coordenado e ativo por parte dos hackers que operam a ameaça, que agora é considerada global e persistente.

Via - THN