Um número crescente de campanhas maliciosas agora utiliza um trojan bancário para Android descoberto recentemente, chamado Crocodilus, para atingir usuários na Europa e na América do Sul.
De acordo com um novo relatório publicado pela ThreatFabric, o malware também adotou técnicas aprimoradas de ofuscação para dificultar a análise e a detecção. Além disso, inclui a capacidade de criar novos contatos na lista de contatos da vítima.
Além disso, a empresa de segurança holandesa declarou: “Atividades recentes revelam múltiplas campanhas que agora têm como alvo países europeus, enquanto continuam as campanhas turcas e se expandem globalmente para a América do Sul.”
Trojan
O Crocodilus apareceu publicamente pela primeira vez em março de 2025, visando usuários de dispositivos Android na Espanha e na Turquia, disfarçando-se de aplicativos legítimos como o Google Chrome. O malware também vem equipado com recursos para lançar ataques de sobreposição contra uma lista de aplicativos financeiros recuperados de um servidor externo, permitindo a coleta de credenciais.
Além disso, ele abusa das Permissões de Serviços de Acessibilidade para Capturar Frases-chave Associadas a Carteiras de Criptomoedas. Os cibercriminosos podem então usar essas frases para drenar ativos Virtuais Armazenados nelas.
As Descobertas mais Recentes do ThreatFabric Destacam tanto o alcance Geográfico Crescente do malware quanto seu Desenvolvimento Contínuo. Essas Melhorias e novos Recursos mostram Claramente que seus Operadores Continuam a Mantê-lo Ativamente.
Em Campanhas Selecionadas Direcionadas à Polônia, os Cibercriminosos usaram Anúncios falsos do Facebook como vetor de Distribuição, Imitando bancos e Plataformas de Comércio Eletrônico. Esses Anúncios Enganosos induzem as vítimas a baixar um Aplicativo para Reivindicar Supostos pontos de bônus. Quando os Usuários tentam baixar o Aplicativo, a Campanha os Redireciona para um site Malicioso que entrega o Conta-gotas Crocodilus.
Trojan Crocodilus se torna global
Outras ondas de ataques Direcionadas a Usuários Espanhóis e Turcos se Disfarçaram como uma Atualização de Navegador e um cassino online. Além disso, o malware também atingiu Usuários na Argentina, Brasil, Índia, Indonésia e Estados Unidos.
Além de Incorporar Diversas Técnicas de Ofuscação para Complicar os Esforços de Engenharia reversa, novas Variantes do Crocodilus agora podem Adicionar um contato Específico à lista de Contatos da vítima ao receber o comando “TRU9MMRHBCRO“.
Pesquisadores Suspeitam que esse recurso sirva como uma Contramedida às novas Proteções de Segurança Introduzidas pelo Google no Android. Essas Proteções alertam os Usuários sobre Possíveis golpes quando eles iniciam Aplicativos Bancários durante uma sessão de Compartilhamento de tela com um contato Desconhecido.
A ThreatFabric explicou: “Acreditamos que a intenção é adicionar um número de telefone com um nome convincente, como ‘Suporte Bancário’, permitindo que o invasor ligue para a vítima fingindo ser legítimo. Isso também pode contornar as medidas de prevenção a fraudes que sinalizam números desconhecidos.”
Além disso, outro recurso Recém-introduzido é um coletor Automatizado de Frases-semente que usa um Analisador para extrair Frases-semente e chaves Privadas de Carteiras de Criptomoedas Específicas.
De acordo com a empresa, “As campanhas mais recentes envolvendo o Trojan bancário Crocodilus para Android sinalizam uma evolução preocupante tanto na sofisticação técnica do malware quanto em seu escopo operacional.”
Notavelmente, suas Campanhas não se limitam mais a regiões Específicas. Em vez disso, o malware Expandiu seu alcance para novas áreas Geográficas, Destacando Claramente sua Transição para uma ameaça Verdadeiramente global.
Fonte: TheHackerNews
Leia mais em Impreza News
