Nel marzo 2025, il team di Mobile Threat Intelligence di ThreatFabric ha individuato un nuovo trojan bancario per Android denominato Crocodilus. Inizialmente osservato in campagne di test, il malware ha rapidamente ampliato il suo raggio d’azione, colpendo utenti in Europa e Sud America. Le campagne recenti hanno preso di mira utenti in Polonia, Spagna, Turchia, Argentina, Brasile, Stati Uniti, Indonesia e India, sfruttando tecniche di distribuzione sofisticate come pubblicità ingannevoli su social network, in particolare Facebook.

Tecniche di distribuzione e ingegneria sociale

Crocodilus viene distribuito attraverso “dropper” che riescono a bypassare le restrizioni di sicurezza introdotte in Android 13 e versioni successive. Una volta installato, il malware richiede l’attivazione del “Servizio di Accessibilità”, ottenendo così ampi privilegi sul dispositivo. Questi privilegi permettono al malware di:

• Visualizzare sovrapposizioni che imitano interfacce di app bancarie e di criptovalute.
• Registrare le sequenze di tasti e monitorare l’attività sullo schermo.

Una delle tattiche di ingegneria sociale più efficaci utilizzate da Crocodilus è l’invio di messaggi falsi che sollecitano l’utente a eseguire un backup della chiave del portafoglio entro 12 ore, minacciando la perdita di accesso in caso contrario. Questo induce l’utente a navigare verso la seed phrase, che viene poi intercettata dal malware.

Evoluzione delle funzionalità

Le versioni più recenti di Crocodilus presentano miglioramenti significativi:

• Obfuscazione avanzata: utilizzo di tecniche di packing e crittografia XOR per rendere più difficile l’analisi del codice.
• Modifica della rubrica: aggiunta di contatti fittizi, come “Assistenza Bancaria”, per facilitare attacchi di phishing telefonico.
• Raccolta automatica di seed phrase: implementazione di parser specifici per estrarre seed phrase e chiavi private da app di portafogli di criptovalute.

Crocodilus rappresenta una minaccia significativa per gli utenti di dispositivi Android, in particolare per coloro che gestiscono portafogli di criptovalute. La sua capacità di eludere le misure di sicurezza, combinata con tecniche di ingegneria sociale sofisticate, lo rende particolarmente pericoloso. Le campagne mirate e l’uso di pubblicità ingannevoli su piattaforme popolari aumentano il rischio di infezione.

Raccomandazioni per la protezione

Per mitigare il rischio di infezione da Crocodilus, si consiglia di:

• Scaricare app solo da fonti ufficiali come Google Play Store.
• Evitare di concedere permessi di accessibilità a app non verificate.
• Essere cauti con messaggi che richiedono azioni urgenti, come il backup di chiavi.
• Mantenere aggiornato il sistema operativo e le app installate.
• Utilizzare soluzioni di sicurezza affidabili per dispositivi mobili.

La vigilanza e l’adozione di buone pratiche di sicurezza sono fondamentali per proteggersi da minacce come Crocodilus.