Crocodilus è un nuovo malware bancario per dispositivi Android che sta rapidamente guadagnando terreno in diversi Paesi, con una pericolosità che non riguarda solo utenti inesperti e che lo sta rendendo tra i malware più insidiosi per la cybersecurity nei dispositivi mobile. Si tratta di un trojan sofisticato, capace di sottrarre credenziali bancarie e seed phrase dei portafogli di criptovalute, ovvero quelle sequenze di parole che consentono di accedere a un wallet crypto e che, se rubate, equivalgono alla perdita del contenuto del portafoglio stesso. Scoperto a marzo 2025 dalla società di sicurezza olandese ThreatFabric, Crocodilus è stato osservato in azione inizialmente in Spagna e Turchia, ma ha già esteso la sua presenza in Polonia, Sud America, Stati Uniti, India e Indonesia. Considerata la sua architettura modulare e la capacità di adattarsi a nuove lingue e contesti geografici, l'Italia risulta un potenziale obiettivo imminente.
Come viene diffuso Crocodilus e cosa è capace di fare
Questo trojan viene diffuso principalmente attraverso annunci fraudolenti pubblicati su social network, come Facebook e Instagram. Gli attaccanti creano campagne pubblicitarie che promuovono app apparentemente innocue: aggiornamenti del browser, casinò online o promozioni bancarie. Quando si clicca sull'annuncio, si viene reindirizzati a un sito malevolo che permette il download di un file APK infetto. Una volta installato quest'ultimo, viene richiesto l'accesso ai servizi di accessibilità del sistema Android. Questo tipo di permesso, pensato per aiutare gli utenti con disabilità, può però essere sfruttato per ottenere un controllo esteso sul dispositivo: il malware può leggere ciò che appare sullo schermo, simulare tocchi e digitazioni, avviare sessioni da remoto e sovrapporre schermate false si quelle di app legittime.
Il meccanismo di attacco più comune di Crocodilus è basato proprio su questi overlay, schermate fasulle che imitano quelle di app bancarie o di gestione fondi. In questo modo, le vittime digitano inconsapevolmente le proprie credenziali in un'interfaccia controllata dai criminali informatici. A queste tecniche si aggiunge un'altra funzione molto particolare: la capacità di aggiungere nuovi contatti nella rubrica dello smartphone infettato. In risposta a un comando preciso inviato dal server di controllo remoto, Crocodilus può inserire un contatto con un nome credibile – ad esempio “Assistenza bancaria” – associato a un numero controllato dagli attaccanti. Questo stratagemma è stato probabilmente ideato per aggirare le nuove protezioni di Android che segnalano comportamenti sospetti durante le sessioni di condivisione dello schermo con contatti sconosciuti.
Un'altra componente avanzata del malware è il cosiddetto seed phrase collector, un sistema automatico che utilizza un parser – uno strumento software capace di estrarre dati strutturati – per individuare e memorizzare le frasi di recupero dei portafogli di criptovalute. Questa funzione permette agli operatori di Crocodilus di impossessarsi direttamente dei contenuti presenti nel wallet della vittima, ad esempio Bitcoin o Ethereum, .
Secondo ThreatFabric, Crocodilus non è un semplice malware statico, ma un progetto in continua evoluzione. Nel rapporto stilato dagli esperti di sicurezza, infatti, leggiamo:
Le ultime campagne che coinvolgono il trojan bancario Android Crocodilus segnalano un'evoluzione preoccupante sia nella sofisticazione tecnica del malware che nella sua portata operativa. Grazie alle nuove funzionalità aggiunte, Crocodilus è ora più abile nel raccogliere informazioni sensibili ed eludere il rilevamento. In particolare, le sue campagne non sono più circoscritte a livello regionale; il malware ha esteso la sua portata a nuove aree geografiche, sottolineando la sua transizione verso una minaccia veramente globale.
Nonostante la complessità del malware, Google ha rassicurato ai colleghi di TheHackerNews che al momento «nessuna app contenente questo malware è disponibile su Google Play [Store]». In ogni caso, i dispositivi Android dotati di Google Play Services attivano per impostazione predefinita il sistema Play Protect, una tecnologia che verifica la sicurezza delle app installate, anche se provengono da fonti esterne. Dal momento che Play Protect non può garantire protezione totale quando l'utente scarica manualmente un APK da un sito sconosciuto, è proprio in quest'ultimo scenario che si colloca la minaccia Crocodilus.
Come difendersi dal malware Crocodilus
Per difendersi dalla minaccia di Crocodilus, è importante mantenere un approccio consapevole e, nel concreto, questo significa scaricare app solo da fonti ufficiali, come il Google Play Store. Inoltre bisogna evitare di concedere i permessi di accessibilità se non sono strettamente necessari, verificare sempre l'autenticità delle promozioni viste online e dotarsi di un software antivirus affidabile anche su dispositivi mobili. Anche aggiornare regolarmente il sistema operativo e le app installate contribuisce a ridurre le vulnerabilità.
;Resize,width=270;)
;Resize,width=767;)
;Resize,width=712;)
;Resize,width=270;)
;Resize,width=270;)
;Resize,width=270;)
