Um novo Trojan bancário móvel identificado como Crocodilus está chamando a atenção de especialistas em cibersegurança por sua sofisticação e capacidade de atuação silenciosa. Descoberto pela empresa de segurança ThreatFabric, o malware já foi utilizado em ataques na Espanha e na Turquia e mira principalmente instituições bancárias e carteiras de criptomoedas.
Ao contrário de outras ameaças que surgem como variações de malwares existentes, o Crocodilus foi criado já com recursos avançados desde a primeira versão. Ele se instala por meio de um conta-gotas próprio que ignora proteções do Android 13 em diante. Após a instalação, solicita ativação do Serviço de Acessibilidade, abrindo caminho para controle remoto completo do dispositivo.
Entre suas funcionalidades estão sobreposições de tela preta que ocultam operações maliciosas, captura de tela do Google Authenticator e um sistema avançado de monitoramento de eventos — características que facilitam o roubo de credenciais bancárias, senhas e códigos OTP (one-time password). O malware ainda consegue silenciar o som do aparelho para evitar que a vítima perceba movimentações suspeitas.
Alerta para criptomoedas
Além dos aplicativos bancários, o Crocodilus também direciona ataques a carteiras digitais. Utilizando engenharia social, induz o usuário a revelar a chave de recuperação da carteira, permitindo o esvaziamento completo dos fundos pelos criminosos. Uma das estratégias é exibir uma mensagem falsa solicitando backup urgente da chave de acesso, o que leva o próprio usuário a acessar e exibir dados críticos na tela.
Conexões com ameaças conhecidas
Apesar de ser um malware novo, indícios apontam ligações com desenvolvedores já conhecidos no cenário de ciberameaças móveis, como “sybra”, que anteriormente operou outras famílias como Hook e Octo. Parte do código do Crocodilus indica origem turca.
A descoberta reforça que soluções tradicionais de detecção, baseadas apenas em assinatura de vírus, são insuficientes diante de ameaças tão avançadas. Especialistas recomendam a adoção de sistemas de defesa em camadas, capazes de identificar padrões comportamentais suspeitos e bloquear acessos não autorizados em tempo real.