Il trojan bancario Crocodilus è emerso come una delle minacce più insidiose nel panorama della sicurezza mobile, prendendo di mira dispositivi Android in rapida espansione su scala globale. Originariamente individuato in Spagna e Turchia, Crocodilus ha rapidamente ampliato il proprio raggio d’azione, coinvolgendo ora utenti in almeno otto paesi tra Europa, Sud America, India, Indonesia e Stati Uniti. Il malware si diffonde sfruttando campagne malevole che spesso utilizzano annunci fraudolenti su Facebook, camuffandosi da app legittime di banche o piattaforme di e-commerce. Gli utenti vengono indotti a scaricare applicazioni apparentemente sicure per ricevere bonus o offerte, ma in realtà vengono reindirizzati su siti malevoli che scaricano il dropper di Crocodilus.
Principali capacità e tecniche del trojan
Tra le sue principali capacità, Crocodilus esegue attacchi overlay contro app bancarie e finanziarie, sovrapponendo schermate fasulle per rubare le credenziali d’accesso delle vittime. Il trojan sfrutta inoltre i permessi dei servizi di accessibilità per intercettare seed phrase e private key di portafogli di criptovalute, consentendo ai cybercriminali di svuotare gli asset digitali dei malcapitati. Le ultime versioni del malware mostrano una sofisticazione crescente, con tecniche avanzate di offuscamento per eludere l’analisi e il rilevamento da parte degli strumenti di sicurezza.
Nuove funzionalità e strategie di elusione
Una delle funzionalità più recenti e preoccupanti di Crocodilus è la possibilità di inserire nuovi contatti nella rubrica della vittima tramite comando remoto. Questo stratagemma è stato implementato probabilmente come contro-misura alle nuove protezioni di sicurezza di Android, che avvertono gli utenti quando lanciano app bancarie durante sessioni di condivisione schermo con contatti sconosciuti. Aggiungendo un numero come "Assistenza Banca", l’attaccante può simulare una chiamata legittima e aggirare i sistemi antifrode che bloccano numeri non riconosciuti.
Impatto globale e contromisure
Il trojan Crocodilus si evolve anche nella raccolta automatica delle seed phrase e delle chiavi private di wallet crypto, utilizzando un parser dedicato per estrarre queste informazioni sensibili. Secondo gli analisti, la minaccia non si limita più a campagne regionali, ma rappresenta ora un rischio globale, dimostrando una costante attività di sviluppo da parte dei suoi operatori. Google ha dichiarato che, al momento, nessuna app infetta è presente su Google Play e che Play Protect offre protezione automatica anche contro installazioni da fonti esterne.
