Pesquisadores de segurança descobriram um novo malware bancário para Android chamado Crocodilus, que ataca principalmente usuários na Espanha e Turquia. O trojan usa técnicas avançadas como controle remoto, sobreposição de tela preta e exploração de acessibilidade para roubar credenciais bancárias e de criptomoedas. Segundo a ThreatFabric, o malware permite a tomada total do dispositivo (DTO) para realizar transações fraudulentas. Seu código indica que o desenvolvedor é falante de turco. O Crocodilus se disfarça de Google Chrome (pacote “quizzical.washbowl.calamity”), conseguindo burlar restrições do Android 13+. Após a instalação, solicita permissões de acessibilidade e se conecta a um servidor remoto para definir alvos e aplicar sobreposições fraudulentas.

Além dos apps bancários, o Crocodilus também rouba carteiras de criptomoedas. Em vez de um login falso, ele exibe um alerta pedindo que o usuário faça backup da seed phrase em 12 horas. Ao acessar os dados, o malware os captura e envia aos hackers, permitindo o roubo dos fundos. O trojan se mantém oculto ao exibir uma tela preta para mascarar atividades maliciosas e silenciar sons. Ele monitora todas as ações do usuário, inclusive capturando conteúdos do Google Authenticator. Entre suas funções mais perigosas estão:

• Abrir apps bancários
• Autoexclusão do dispositivo
• Enviar notificações push e SMS
• Coletar contatos, mensagens e apps instalados
• Solicitar privilégios de administrador
• Ativar keylogging e sobreposição preta

Especialistas alertam que o Crocodilus representa um salto na sofisticação dos trojans bancários. A descoberta ocorre enquanto outro trojan, o Grandoreiro, usa phishing para atacar usuários no México, Argentina e Espanha.