Malware Crocodilus Android assume controlo total do dispositivo para esvaziar carteiras de criptomoedas

• Crocodilus abusou dos Serviços de Acessibilidade do Android para ler frases de recuperação, registar toques e iniciar transferências após desbloqueio biométrico
• O malware apareceu pela primeira vez na Turquia em março de 2025 e expandiu-se rapidamente para a Europa, América do Sul, Índia e Indonésia até meados de 2025
• A distribuição ocorre através de anúncios maliciosos, aplicações falsas de carteiras e páginas de atualização de navegador falsificadas que oferecem recompensas ou bónus

Crocodilus, uma família de malware para Android identificada pela primeira vez em março de 2025, evoluiu para atacar carteiras de criptomoedas explorando permissões do sistema para obter controlo operacional completo sobre dispositivos infetados. As últimas variantes do malware podem roubar frases de recuperação, executar ações remotas e esvaziar ativos diretamente de aplicações de carteiras móveis.

O malware funciona abusando dos Serviços de Acessibilidade do Android e permissões de sobreposição para ler texto na tela, observar interfaces de aplicações, registar toques e interceptar palavras-passe de uso único de ferramentas de autenticação, de acordo com a 1inch. Combinado com o seu módulo de acesso remoto, os atacantes podem operar telemóveis comprometidos como se os tivessem na mão.

Controlo remoto permite roubo de ativos após desbloqueio

Assim que uma carteira é desbloqueada por qualquer método, incluindo biometria, Crocodilus pode abrir aplicações, navegar por interfaces e iniciar transferências sem intervenção do utilizador. Algumas variantes exibem pedidos falsos de backup de carteira, concebidos para imitar de perto interfaces legítimas, enganando os utilizadores para que reintroduzam as suas frases de recuperação. Quando inseridas num dispositivo infetado, as credenciais são recebidas instantaneamente pelos atacantes, que ganham controlo permanente sobre os ativos.

O malware desenvolveu capacidades sofisticadas de engenharia social. Certas versões criam contactos de suporte falsos que imitam fornecedores de carteiras ou trocas. Se uma vítima notar atividade incomum e tentar contactar o suporte, pode inadvertidamente contactar o atacante, que então manipula a vítima para revelar informações sensíveis adicionais ou aprovar ações maliciosas.

Expansão global rápida desde a descoberta em março

Crocodilus apareceu pela primeira vez na Turquia durante campanhas de teste em março de 2025. Em poucas semanas, as operações expandiram-se para Espanha e Polónia, e até meados de 2025, o malware estava ativo em partes da América do Sul, Índia, Indonésia e regiões isoladas nos Estados Unidos, de acordo com a ThreatFabric.

O malware espalha-se principalmente através de anúncios maliciosos, incluindo aqueles no Facebook. Na Polónia, anúncios que imitavam plataformas bancárias e de comércio eletrónico foram exibidos mais de 1.000 vezes em uma a duas horas, direcionados a utilizadores com mais de 35 anos. Outros métodos de distribuição incluem aplicações falsas de carteiras e páginas de download falsificadas que se passam por atualizações de navegador ou ferramentas de criptomoedas.

Os investigadores de segurança recomendam evitar ficheiros APK desconhecidos e rever quais aplicações têm permissões de Serviço de Acessibilidade ativadas. Aplicações legítimas de carteiras, trocas e autenticadores não requerem acesso total. Os utilizadores nunca devem reintroduzir frases de recuperação em dispositivos móveis, a não ser que estejam a realizar uma recuperação legítima, pois pedidos inesperados normalmente indicam fraude. Se suspeitar de infeção, os utilizadores devem desconectar imediatamente o dispositivo e transferir quaisquer ativos restantes para um ambiente limpo ou uma carteira de hardware.