A versão mais recente do malware ‘Crocodilus’ para Android introduziu um novo mecanismo que adiciona um contato falso à lista de contatos de um dispositivo infectado para enganar as vítimas quando elas recebem chamadas dos invasores.
Esse recurso foi introduzido junto com vários outros, a maioria melhorias focadas em evasão, já que o malware parece ter expandido seu escopo de segmentação em todo o mundo.
Crocodilus se torna global
O malware foi documentado pela primeira vez pelos pesquisadores do Threat Fabric no final de março de 2025, que destacaram seus amplos recursos de roubo de dados e controle remoto.
Essas primeiras versões também apresentavam tentativas elementares de engenharia social por meio de mensagens de erro falsas solicitando que a chave da carteira de criptomoeda do usuário fosse “feita em backup” em 12 horas ou perderia o acesso a ela.
Naquela época, o Crocodilus só era visto em algumas campanhas de pequena escala na Turquia.
Isso mudou agora, de acordo com a Threat Fabric , que continuou monitorando a operação do malware e observou que o Crocodilus expandiu seu escopo de segmentação para todos os continentes.
Ao mesmo tempo, as versões mais recentes introduziram evasão aprimorada por meio de compactação de código no componente dropper e uma camada extra de criptografia XOR para a carga útil.
Os analistas também observaram convolução e emaranhamento de código, o que torna mais difícil a engenharia reversa do malware.
Outra adição é um sistema para analisar dados roubados localmente no dispositivo infectado antes de repassá-los ao agente da ameaça para coleta de dados de maior qualidade.
Contatos falsos
Um recurso notável na versão mais recente do malware Crocodilus é a capacidade de adicionar contatos falsos ao dispositivo da vítima. Isso fazia com que o dispositivo exibisse o nome listado no perfil de contato do autor da chamada, em vez do identificador de chamadas, ao receber uma chamada.
Isso pode permitir que os cibercriminosos se façam passar por bancos, empresas ou até mesmo amigos e familiares confiáveis, fazendo com que as chamadas pareçam mais confiáveis.
Esta ação é executada ao emitir um comando específico que aciona o código a seguir para criar programaticamente (usando a API ContentProvider) um novo contato local no dispositivo Android.
“Ao receber o comando “TRU9MMRHBCRO”, o Crocodilus adiciona um contato específico à lista de contatos da vítima”, explica o Threat Fabric no relatório.
Isso aumenta ainda mais o controle do invasor sobre o dispositivo. Acreditamos que a intenção é adicionar um número de telefone com um nome convincente, como “Suporte Bancário”, permitindo que o invasor ligue para a vítima e pareça legítimo.
O contato não autorizado não está vinculado à conta do Google do usuário, portanto, ele não será sincronizado com outros dispositivos nos quais ele esteja conectado.
O Crocodilus está evoluindo rapidamente, demonstrando afinidade com engenharia social, o que o torna um malware particularmente perigoso.
É aconselhável que os usuários do Android utilizem o Google Play ou editores confiáveis ao baixar software para seus dispositivos, garantindo que o Play Protect esteja sempre ativo e minimizando o número de aplicativos que usam ao absolutamente necessário.
Fonte: Redação
