Crocodilus, malware-ul care „mușcă” din utilizatorii Android: De la Turcia la o amenințare globală
Un nou troian bancar pentru Android, denumit Crocodilus, s-a strecurat rapid din umbră în atenția comunității de securitate cibernetică. Inițial descoperit în Turcia în martie 2025, acest software malițios s-a răspândit în doar câteva luni în țări precum Polonia, Spania, regiuni din America de Sud și Asia, devenind o amenințare globală. Malware-ul se infiltrează în telefoanele victimelor prin aplicații bancare false, actualizări de browser înșelătoare sau reclame care promit recompense fictive.
Evoluția sa rapidă și capacitățile tot mai complexe îl transformă într-un pericol serios pentru milioane de utilizatori de Android din întreaga lume.
Spre deosebire de multe alte tipuri de malware pentru Android, Crocodilus nu se limitează doar la colectarea de date banale. Potrivit echipei de la ThreatFabric, acest malware a evoluat într-un mod îngrijorător. Printre cele mai recente funcționalități se numără capacitatea de a crea noi contacte în agenda telefonică a victimei – o tactică ce pare destinată atacurilor de tip inginerie socială – și de a extrage automat fraze-seed ale portofelelor de criptomonede.
Această ultimă funcție e deosebit de periculoasă pentru utilizatorii care păstrează portofele digitale pe telefoanele lor. Prin monitorizarea ecranului și identificarea tiparelor specifice, Crocodilus reușește să sustragă cheile de acces, oferind atacatorilor controlul complet asupra activelor digitale ale victimei. În plus, troianul este capabil să suprapună ecrane false peste aplicațiile bancare legitime pentru a fura datele de autentificare.
Iar pentru a evita detectarea, Crocodilus utilizează tehnici sofisticate de criptare și ambalare a codului, făcându-l dificil de analizat și eliminat chiar și pentru experți.
Un peisaj Android vulnerabil: cum se răspândește malware-ul
Crocodilus profită de slăbiciunile ecosistemului Android, în special de metodele prin care aplicațiile rău intenționate ajung pe dispozitive. În unele cazuri, atacatorii le strecoară chiar în magazinul oficial Google Play, camuflate în aplicații aparent inofensive. În octombrie anul trecut, Zscaler a descoperit nu mai puțin de 200 de aplicații malițioase pe Play Store, cu peste 8 milioane de instalări în total.
O altă metodă frecventă este redirecționarea utilizatorilor către site-uri infectate sau trimiterea de linkuri malițioase prin mesaje. În cazul dispozitivelor Android ieftine, unele modele ajung pe piață cu malware preinstalat, plasând utilizatorii în pericol încă din momentul achiziției.
Pentru a combate aceste riscuri, Google și-a intensificat eforturile prin Google Play Protect, o funcție care scanează aplicațiile pentru comportamente dăunătoare. Doar în ultimul an, sistemul a prevenit publicarea a 2,36 milioane de aplicații periculoase și a interzis peste 158.000 de conturi de dezvoltatori. Totuși, în fața amenințărilor precum Crocodilus, aceste măsuri par uneori insuficiente.
Adaptare continuă: cum evoluează Crocodilus pentru a rămâne nedetectat
Autorii din spatele Crocodilus nu stau pe loc. Odată ce tehnicile de detecție ale Google devin mai sofisticate, malware-ul își schimbă codul și tacticile. Versiunile recente ale troianului includ cod opacizat, straturi suplimentare de criptare și structuri de cod menite să încurce eforturile de reverse engineering. Mai mult, malware-ul poate adăuga contacte noi în agenda telefonică sub denumiri convingătoare precum „Bank Support”, crescând astfel riscul ca victima să interacționeze cu atacatori mascați.
Această capacitate de adaptare constantă face ca Crocodilus să nu fie doar un pericol punctual, ci o amenințare în evoluție, care obligă utilizatorii și organizațiile să-și actualizeze permanent strategiile de protecție.
Într-o lume în care telefoanele mobile stochează tot mai multe date sensibile – de la informații bancare la criptomonede – malware-ul precum Crocodilus devine o realitate de care nu mai poți să te ascunzi. Fii atent la aplicațiile pe care le descarci, evită site-urile suspecte și verifică întotdeauna autenticitatea mesajelor sau actualizărilor. Pentru că în spatele unei interfețe prietenoase se poate ascunde un troian însetat de date.