I ricercatori di ThreatFabric hanno individuato un nuovo trojan bancario per Android. Crocodilus offre tutte le “funzionalità” di questo tipo di malware. Viene anche utilizzato per rubare la seed phrase dei wallet di criptovalute. Il malware riesce ad aggirare le protezioni del sistema operativo. Al momento le vittime si trovano solo in Spagna e Turchia.
Descrizione di Crocodilus
Gli esperti di ThreatFabric non hanno scoperto la tecnica usata per distribuire Crocodilus. Solitamente le vittime vengono spinte a scaricare app infette da store di terze parti o da siti web. In maniera simile ad altri trojan bancari viene chiesto il permesso per attivare i servizi di accessibilità. Il malware contatta successivamente il server C2 (command and control), dal quale riceve istruzioni.
Viene in particolare fornito l’elenco delle app bancarie da “copiare”. All’avvio dell’app legittima viene mostrata una schermata di login identica a quella originale. L’utente consegna quindi le credenziali ai cybercriminali. Crocodilus include anche funzionalità di keylogger (registra i tasti premuti) e screen capture (cattura screenshot).
Il malware può inoltre avviare app, inoltrare le telefonate, inviare SMS, bloccare lo schermo e accedere all’elenco dei contatti. Offre anche funzionalità RAT (Remote Access Trojan), quindi consente di eseguire azioni da remoto, come attivazione della fotocamera e simulazione di tap e swipe.
Se rileva la presenza di wallet per criptovalute, Crocodilus mostra un avviso che invita l’utente ad aggiornare la master key (nota anche come seed phrase) entro 12 ore per non perdere l’accesso. Dopo aver ricevuto la chiave, i cybercriminali svuotano completamente il portafoglio.
Gli utenti devono prestare molta attenzione ai permessi e non devono scaricare app da fonti poco affidabili. È preferibile attivare Google Play Protect e utilizzare una soluzione di sicurezza.
Ti potrebbe interessare
31 mar 2025