A versão mais recente do malware para Android 'Crocodilus' introduziu um novo mecanismo que adiciona um contato falso na lista de contatos do dispositivo infectado, com o objetivo de enganar as vítimas quando elas recebem chamadas dos atores de ameaças.
Este recurso foi introduzido juntamente com várias outras melhorias focadas em evasão, à medida que o malware parece ter expandido seu escopo de alvo para todo o mundo.
O malware foi documentado inicialmente pelos pesquisadores da Threat Fabric no final de março de 2025, que destacaram suas amplas capacidades de roubo de dados e controle remoto.
As versões iniciais também apresentavam tentativas elementares de engenharia social por meio de mensagens de erro falsas, solicitando que a chave da carteira de criptomoedas do usuário fosse "fazer backup" dentro de 12 horas ou perder o acesso a ela.
Naquela época, Crocodilus foi visto apenas em algumas campanhas de pequena escala na Turquia.
Isso agora mudou, de acordo com a Threat Fabric, que continuou monitorando a operação do malware e observou que o Crocodilus expandiu seu escopo de alvo para todos os continentes.
Ao mesmo tempo, as últimas versões introduziram uma evasão aprimorada por meio de code packing no componente dropper e uma camada extra de criptografia XOR para o payload.
Os analistas também observaram convolução e emaranhamento de código que torna a engenharia reversa do malware mais difícil.
Outra adição é um sistema para analisar dados roubados localmente no dispositivo infectado antes de exfiltrá-los ao ator de ameaça para uma coleta de dados de maior qualidade.
Um recurso notável na versão mais recente do malware Crocodilus é a capacidade de adicionar contatos falsos no dispositivo da vítima.
Fazer isso faria com que o dispositivo exibisse o nome listado no perfil de contato do chamador, em vez do ID do chamador, ao receber uma chamada.
Isso poderia permitir que os atores de ameaças se passassem por bancos confiáveis, empresas ou até mesmo amigos e familiares, fazendo com que as chamadas pareçam mais confiáveis.
Essa ação é realizada ao emitir um comando específico que aciona o seguinte código para criar programaticamente (usando a API ContentProvider) um novo contato local no dispositivo Android.
"Ao receber o comando 'TRU9MMRHBCRO', Crocodilus adiciona um contato especificado à lista de contatos da vítima", explica a Threat Fabric no relatório.
"Isso aumenta ainda mais o controle do atacante sobre o dispositivo.
Acreditamos que a intenção seja adicionar um número de telefone sob um nome convincente, como 'Suporte do Banco', permitindo que o atacante ligue para a vítima enquanto parece legítimo."
O contato falso não é vinculado à conta Google do usuário, portanto, não será sincronizado com outros dispositivos onde estão logados.
O Crocodilus está evoluindo rapidamente, demonstrando uma afinidade com engenharia social, o que o torna um malware particularmente perigoso.
Aconselha-se aos usuários do Android que se atenham ao Google Play ou a editores confiáveis quando baixarem softwares para seus dispositivos, garantindo que o Play Protect esteja sempre ativo e minimizando o número de apps que usam para o absolutamente necessário.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...