Nel panorama della sicurezza informatica, una nuova minaccia si sta diffondendo rapidamente: il malware Android Crocodilus. Questo trojan bancario è progettato per colpire principalmente utenti in Spagna e Turchia, utilizzando tecniche avanzate per rubare credenziali bancarie e di criptovalute. Secondo ThreatFabric, Crocodilus si differenzia da altri malware per la sua sofisticazione: non è un semplice clone, ma una minaccia completa dotata di tecniche moderne come il controllo remoto, sovrapposizioni di schermo nero e raccolta avanzata di dati tramite la registrazione delle attività di accessibilità.

Crocodilus si maschera da Google Chrome per bypassare le restrizioni di Android 13+, fungendo da dropper. Una volta installato, richiede l'accesso ai servizi di accessibilità di Android, stabilendo così un contatto con un server remoto per ricevere istruzioni, l'elenco delle app finanziarie da colpire e le sovrapposizioni HTML per rubare le credenziali. Il malware è in grado di colpire anche i portafogli di criptovalute, mostrando un messaggio di avviso che invita le vittime a eseguire il backup delle frasi seed, sfruttando l'ingegneria sociale per accedere alle frasi seed e quindi ai portafogli stessi.

Una delle caratteristiche peculiari di Crocodilus è la sua capacità di nascondere le azioni malevole sul dispositivo, visualizzando una sovrapposizione di schermo nero e silenziando i suoni, garantendo così che le attività rimangano inosservate. Il malware monitora continuamente il lancio di applicazioni, visualizzando sovrapposizioni per intercettare le credenziali e registrare tutte le attività eseguite dagli utenti sullo schermo. È anche in grado di catturare lo schermo dell'applicazione Google Authenticator, permettendo ai malintenzionati di ottenere i codici di autenticazione a due fattori.

Tra le funzioni supportate dal malware ci sono l'avvio di applicazioni specifiche, la rimozione automatica dal dispositivo, l'invio di notifiche push, la gestione degli SMS, la richiesta di privilegi di amministratore del dispositivo e l'abilitazione del keylogging. Con queste funzionalità, Crocodilus rappresenta un significativo aumento della sofisticazione e del livello di minaccia dei malware moderni. La sua capacità di controllo remoto avanzata e l'uso di sovrapposizioni di schermo nero fin dalle prime iterazioni dimostrano una maturità rara nelle minacce appena scoperte.