Una recente ricerca condotta dalla società di cybersecurity Threat Fabric ha individuato una nuova e pericolosa famiglia di malware denominata Crocodilus e progettata per colpire dispositivi Android. Secondo i report, il malware viene distribuito attraverso un sofisticato dropper proprietario, in grado di eludere le restrizioni di sicurezza introdotte con Android 13 e versioni successive, il che lo rende particolarmente insidioso.
Gli esperti hanno sottolineato come Crocodilus sia già dotato di tutte le funzionalità fondamentali dei moderni trojan bancari: attacchi overlay – che sovrappongono false schermate alle app bancarie per rubare credenziali – keylogging – per intercettare tutto ciò che viene digitato dall’utente – e sofisticate tecniche di accesso remoto (RAT – Remote Access Trojan). Il malware dispone anche di capacità di controllo occulto del dispositivo, che permettono di manipolare le operazioni senza che la vittima se ne accorga.
A new mobile banking Trojan has emerged—#Crocodilus. Discovered during regular threat hunting, it’s already showing capabilities that rival top malware families, including device takeover and advanced credential theft.https://t.co/RlyfFxUYHe#BankingTrojan #ThreatFabric pic.twitter.com/47zPbPfFad
— ThreatFabric (@ThreatFabric) March 28, 2025
Sebbene i malware Android mirati al furto di chiavi private delle criptovalute non siano una novità, la minaccia è in costante evoluzione. Nell’ottobre 2024, l’FBI aveva già emesso un avviso riguardante un altro malware simile, SpyAgent, attribuito a gruppi di hacker nordcoreani. Questi attacchi dimostrano una crescente attenzione dei cybercriminali verso i wallet crypto, che rappresentano un bersaglio di grande valore.
Crocodilus: l’obiettivo sono banche e criptovalute
Il malware, come accennato, segue un modus operandi simile a quello dei più avanzati trojan bancari specializzati nel device takeover, ovvero il controllo completo del dispositivo. Secondo gli analisti, una volta installato tramite un dropper proprietario, Crocodilus richiede immediatamente l’attivazione del Servizio di Accessibilità di Android, una tecnica comune tra i malware più sofisticati per ottenere privilegi elevati e monitorare le attività dell’utente senza destare sospetti.
Una volta attivato, si connette al server di comando e controllo (C2) per ricevere istruzioni, tra cui l’elenco delle applicazioni bersaglio e gli overlay da applicare. Gli overlay sono schermate false che si sovrappongono a quelle delle app bancarie o dei wallet crypto, ingannando l’utente e inducendolo a inserire credenziali e altre informazioni sensibili, che vengono poi intercettate dal malware.
L’attività di Crocodilus è stata individuata inizialmente in Spagna e Turchia, dove ha preso di mira diversi wallet, secondo quanto rivelato dal team di Mobile Threat Intelligence. Ma gli esperti avvertono che potrebbe espandersi rapidamente su scala globale.
“Ci aspettiamo che questo raggio d’azione si estenda ulteriormente man mano che il malware si evolve e gli hacker ne perfezionano le capacità”, ha dichiarato il team di Mobile Threat Intelligence.
Oltre al furto di credenziali, Crocodilus è in grado di aggirare l’autenticazione a due fattori (2FA), un ostacolo cruciale per i cybercriminali. Per farlo, utilizza un comando RAT (Remote Access Trojan) che attiva una cattura schermo del contenuto dell’app Google Authenticator, intercettando i codici 2FA generati e trasmettendoli al server C2. Questo permette agli hacker di ottenere l’accesso completo agli account delle vittime, superando le misure di sicurezza progettate per proteggerli.
Azioni che ingannano l’inconsapevole utente
A differenza di altri trojan bancari, Crocodilus adotta una sofisticata strategia per compromettere i wallet crypto, sfruttando tecniche di ingegneria sociale per convincere le vittime a rivelare le proprie chiavi di accesso. Attraverso un falso messaggio di sistema, visualizzato tramite overlay, il malware induce gli utenti a eseguire manualmente il backup della chiave del wallet con un avviso ingannevole:
“Effettua il backup della chiave del tuo wallet nelle impostazioni entro 12 ore. In caso contrario, l’app verrà resettata e potresti perdere l’accesso al tuo wallet.”
Questo stratagemma manipola la vittima affinché acceda volontariamente alla propria seed phrase, la sequenza di parole necessaria per ripristinare il wallet. Una volta che l’utente apre la sezione dedicata al backup, Crocodilus sfrutta il suo Accessibility Logger per registrare e rubare il testo visualizzato sullo schermo.
“Con queste informazioni, gli hacker possono ottenere il pieno controllo del wallet e svuotarlo completamente,” avvertono gli analisti di Threat Fabric.
Perché fidarsi di 99Bitcoins
Online dal 2013, i componenti del team di 99Bitcoins sono esperti di criptovalute sin dalla nascita di Bitcoin.
Ricerche settimanali
100k+Utenti mensili
Contributi di esperti
2000+Progetti crypto recensiti
Corso intensivo gratuito su Bitcoin
- Enjoyed by over 100,000 students.
- Una email al giorno, 7 giorni consecutivi.
- Short and educational, guaranteed!
Come dichiarare al Fisco le criptovalute in Italia: Guida aggiornata al 2025
Mantra, svelate le ragioni del crollo: la supply era raddoppiata
Crypto News: gli ultimi aggiornamenti sul crollo di Mantra
Bitcoin, la luna di miele è finita? I possibili scenari degli analisti
Ecco come un trader crypto è riuscito a perdere $15 milioni con MANTRA!
