Olhar Digital > Segurança e Privacidade > Crocodilus: Malware mira suas contas bancárias; veja como funciona

Crocodilus: Malware mira suas contas bancárias; veja como funciona

Trojan bancário é promovido por anúncios em redes sociais simulando aplicativos de bancos, cassinos online e navegadores
Por Bruna Barone, editado por Bruno Capozzi 11/06/2025 06h50
iStock-1484283251-1920x1080
Nova versão do malware adiciona contato à lista de telefones da vítima (Imagem: Pakin Jarerndee/iStock)
Compartilhe esta matéria
Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Um novo trojan bancário conhecido como Crocodilus passou a ser considerado uma ameaça global com capacidade de roubar dados bancários em dispositivos Android. O alerta foi feito pela empresa holandesa de segurança cibernética ThreatFabric.

Inicialmente, os ataques estavam restritos à Europa, mas, mais recentemente, se estendeu para a América do Sul (com destaque para Brasil e Argentina), além dos EUA, Índia e Indonésia.

Na Polônia, uma campanha chamou atenção dos analistas: o malware foi promovido por meio de anúncios do Facebook imitando aplicativos de bancos e plataformas de e-commerce.

Malware disfarçado de anúncio simulando aplicativo de banco na Polônia foi distribuído no Facebook (Imagem: Reprodução)

Os anúncios incentivavam os usuários a baixar um aplicativo para reivindicar pontos de bônus. Ao clicar no botão “Baixar”, os usuários eram redirecionados para um site malicioso que entregava o conta-gotas Crocodilus, capaz de contornar as restrições do Android 13+.

De acordo com os dados de transparência do Facebook, esses anúncios ficaram no ar por apenas 1 a 2 horas, mas cada um foi exibido mais de mil vezes. A maioria dos espectadores tinha mais de 35 anos.

De olho em criptomoedas

Segundo a empresa, o Crocodilus tem raízes na Turquia, onde os alvos são usuários de grandes bancos e plataformas de criptomoedas. Em um dos ataques, o malware é instalado usando um disfarce de cassino online. 

A distribuição também ocorre por meio de anúncios maliciosos. Uma vez instalado, o Crocodilus monitora ativamente o lançamento de aplicativos financeiros turcos, sobrepondo-os com páginas de login falsas.

Crocodilus monitora o lançamento de aplicativos financeiros mirando criptomoedas na Turquia (Imagem: Jirapong Manustrong/iStock)

Na Espanha, o Crocodilus estava disfarçado de atualização do navegador. A lista de alvos inclui quase todos os bancos espanhóis, demonstrando claramente um foco regional, segundo o levantamento.

Leia Mais:

Malware aprimorado

Os analistas alertam para uma atualização do malware que é capaz de modificar a lista de contatos de um dispositivo infectado. Ao receber o comando “TRU9MMRHBCRO”, o Crocodilus adiciona um contato específico à lista de contatos da vítima.

Isso aumenta ainda mais o controle do invasor sobre o dispositivo. Segundo a empresa, o número é adicionado usando nomes como “Suporte Bancário” — o que pode causar uma impressão de legitimidade do invasor.

Ataques também simulam atualizações do navegador e sites de cassino online (Imagem: undefined undefined/iStock)

A nova versão também foca na extração de frases-semente e chaves privadas de carteiras específicas de criptomoedas. Ela se baseia no recurso AccessibilityLogging, que entrega aos cibercriminosos dados pré-processados prontos para uso em operações fraudulentas.

Bruna Barone
Colaboração para o Olhar Digital

Bruna Barone é formada em Jornalismo pela Faculdade Cásper Líbero. Atuou como editora, repórter e apresentadora na Rádio BandNews FM por 10 anos. Atualmente, é colaboradora no Olhar Digital.

Bruno Capozzi
Editor(a)
Bruno Capozzi no Instagram Bruno Capozzi no Twitter Bruno Capozzi no LinkedIn

Bruno Capozzi é jornalista formado pela Faculdade Cásper Líbero e mestre em Ciências Sociais pela PUC-SP, tendo como foco a pesquisa de redes sociais e tecnologia.

Ícone tagsTags: