I ricercatori di ThreatFabric aveva scoperto Crocodilus a fine marzo. A distanza di circa due mesi, il trojan bancario è stato utilizzato per colpire gli utenti Android in altri paesi. Gli sviluppatori hanno inoltre aggiunto altre funzionalità per incrementare le probabilità di successo degli attacchi.
Diffusione globale e nuove funzionalità
Il malware aveva inizialmente una diffusione limitata soprattutto alla Turchia. Nelle ultime settimane è stato individuato in diversi paesi europei e anche in Sud America. In Polonia è stato distribuito tramite un annuncio pubblicitario su Facebook che sembra di una banca legittima. Gli utenti sono invitati a scaricare una presunta app per ricevere un bonus in denaro. In realtà viene scaricato il dropper di Crocodilus.
In Spagna viene invece distribuito tramite un falso aggiornamento del browser. Gli esperti di ThreatFabric ha notato vari miglioramenti nelle ultime versioni, tra cui nuove tecniche di offuscamento del codice per ostacolare la rilevazione e l’analisi. Sono state inoltre aggiunte nuove funzionalità.
Crocodilus può aggiungere contatti falsi sul dispositivo della vittima. Quando l’utente riceve una telefonata vedrà un nome più convincente, come “Bank Support”, invece del numero di telefono. Ciò permette anche di aggirare il filtro per i numeri sconosciuti.
La nuova variante del malware può infine intercettare la seed phrase e le chiavi private dei wallet di criptovalute. Google consiglia di non disattivare la funzionalità Play Protect, in quanto può bloccare anche le app non scaricate dal Play Store.
Ti potrebbe interessare
4 giu 2025