O trojan bancário para Android Crocodilus lançou novas campanhas direcionadas a usuários de criptomoedas e clientes bancários na Europa e América do Sul.
Detectado pela primeira vez em março de 2025, as amostras iniciais do Crocodilus estavam, em grande parte, restritas à Turquia, onde o malware se disfarçava de aplicativos de cassino online ou imitava apps bancários para roubar credenciais de login.
Campanhas recentes mostram que agora ele está atingindo alvos na Polônia, Espanha, Argentina, Brasil, Indonésia, Índia e Estados Unidos, segundo descobertas da equipe de Inteligência de Ameaças Móveis (MTI) da ThreatFabric.
Uma campanha voltada para usuários na Polônia utilizou anúncios no Facebook para promover falsos aplicativos de fidelidade. Ao clicar no anúncio, os usuários eram redirecionados para sites maliciosos, onde era entregue um instalador do Crocodilus capaz de burlar as restrições do Android 13 ou superior.
Dados de transparência do Facebook revelaram que esses anúncios atingiram milhares de usuários em apenas uma a duas horas, com foco no público acima dos 35 anos.
Crocodilus mira aplicativos bancários e de criptomoedas
Uma vez instalado, o Crocodilus sobrepõe páginas falsas de login sobre aplicativos legítimos de bancos e carteiras de criptomoedas. Na Espanha, por exemplo, ele se disfarçou de atualização de navegador para atacar quase todos os grandes bancos do país.
Além da expansão geográfica, o Crocodilus ganhou novas capacidades. Um dos destaques é a habilidade de modificar a lista de contatos dos dispositivos infectados, permitindo que invasores insiram números de telefone com o nome “Suporte do Banco”, o que pode ser usado em ataques de engenharia social.
Outro avanço importante é a coleta automatizada de frases-semente voltada para carteiras de criptomoedas. O malware agora pode extrair frases-semente e chaves privadas com maior precisão, fornecendo aos invasores dados já processados para rápida tomada de contas.
Enquanto isso, os desenvolvedores fortaleceram as defesas do Crocodilus com camadas mais profundas de ofuscação. A variante mais recente apresenta código empacotado, criptografia XOR adicional e lógica intencionalmente complexa para dificultar a engenharia reversa.
Analistas da MTI também observaram campanhas menores direcionadas a aplicativos de mineração de criptomoedas e bancos digitais europeus.
“Assim como sua versão anterior, a nova variante do Crocodilus foca bastante em aplicativos de carteiras de criptomoedas”, afirmou o relatório. “Essa variante foi equipada com um parser adicional, que auxilia na extração de frases-semente e chaves privadas de carteiras específicas.”
Malware do tipo crypto drainer vendido como serviço
Em um relatório de 22 de abril, a empresa de análise forense e conformidade cripto AMLBot revelou que os crypto drainers — malwares projetados para roubar criptomoedas — tornaram-se mais acessíveis à medida que o ecossistema adota o modelo de software como serviço.
O relatório revelou que disseminadores de malware podem alugar um drainer por apenas 100 a 300 USDt (USDT).
Em 19 de maio, foi revelado que a fabricante chinesa de impressoras Procolored distribuiu malware que rouba Bitcoin junto com seus drivers oficiais.