Um novo trojan bancário conhecido como Crocodilus passou a ser considerado uma ameaça global com capacidade de roubar dados bancários em dispositivos Android. O alerta foi feito pela empresa holandesa de segurança cibernética ThreatFabric.
Inicialmente, os ataques estavam restritos à Europa, mas, mais recentemente, se estendeu para a América do Sul (com destaque para Brasil e Argentina), além dos EUA, Índia e Indonésia.
Na Polônia, uma campanha chamou atenção dos analistas: o malware foi promovido por meio de anúncios do Facebook imitando aplicativos de bancos e plataformas de e-commerce.
Os anúncios incentivavam os usuários a baixar um aplicativo para reivindicar pontos de bônus. Ao clicar no botão “Baixar”, os usuários eram redirecionados para um site malicioso que entregava o conta-gotas Crocodilus, capaz de contornar as restrições do Android 13+.
De acordo com os dados de transparência do Facebook, esses anúncios ficaram no ar por apenas 1 a 2 horas, mas cada um foi exibido mais de mil vezes. A maioria dos espectadores tinha mais de 35 anos.
De olho em criptomoedas
Segundo a empresa, o Crocodilus tem raízes na Turquia, onde os alvos são usuários de grandes bancos e plataformas de criptomoedas. Em um dos ataques, o malware é instalado usando um disfarce de cassino online.
A distribuição também ocorre por meio de anúncios maliciosos. Uma vez instalado, o Crocodilus monitora ativamente o lançamento de aplicativos financeiros turcos, sobrepondo-os com páginas de login falsas.
Na Espanha, o Crocodilus estava disfarçado de atualização do navegador. A lista de alvos inclui quase todos os bancos espanhóis, demonstrando claramente um foco regional, segundo o levantamento.
Leia Mais:
- Malware perigoso está atacando dispositivos da Apple
- Brasil está entre os dez países com mais ameaças de malware
- Atenção! Se você tiver aplicativo de banco no celular, é melhor saber disso
Malware aprimorado
Os analistas alertam para uma atualização do malware que é capaz de modificar a lista de contatos de um dispositivo infectado. Ao receber o comando “TRU9MMRHBCRO”, o Crocodilus adiciona um contato específico à lista de contatos da vítima.
Isso aumenta ainda mais o controle do invasor sobre o dispositivo. Segundo a empresa, o número é adicionado usando nomes como “Suporte Bancário” — o que pode causar uma impressão de legitimidade do invasor.
A nova versão também foca na extração de frases-semente e chaves privadas de carteiras específicas de criptomoedas. Ela se baseia no recurso AccessibilityLogging, que entrega aos cibercriminosos dados pré-processados prontos para uso em operações fraudulentas.
O post Crocodilus: Malware mira suas contas bancárias; veja como funciona apareceu primeiro em Olhar Digital.