Se entra nel tuo smartphone ti svuota il conto in 1 minuto esatto (mistergadget.tech)
C’è un nuovo nemico che si aggira nel mondo Android: si chiama Crocodilus, un temibile trojan bancario che sta rapidamente espandendo la sua morsa a livello globale.
La sua pericolosità non riguarda solo gli utenti meno esperti; si sta affermando come uno dei malware più insidiosi per la cybersicurezza sui dispositivi mobili.
Crocodilus è un trojan sofisticato, capace di mettere le mani su dati sensibili come le credenziali bancarie e le seed phrase dei portafogli di criptovalute. Queste ultime sono quelle sequenze di parole che danno accesso completo a un wallet crypto, e se rubate, equivalgono alla perdita totale del contenuto del portafoglio.
Il virus peggiore di tutti i tempi è ormai arrivato ovunque
Scoperto a marzo 2025 dalla società di sicurezza olandese ThreatFabric, Crocodilus è stato inizialmente individuato in Spagna e Turchia, ma ha già allargato la sua presenza a Polonia, Sud America, Stati Uniti, India e Indonesia. Data la sua struttura modulare e la capacità di adattarsi a nuove lingue e contesti, l’Italia è considerata un potenziale obiettivo imminente.
Questo trojan si propaga principalmente attraverso annunci fraudolenti pubblicati su social network come Facebook e Instagram. I cybercriminali creano campagne pubblicitarie che promuovono app apparentemente innocue: pensate ad aggiornamenti di browser, casinò online o promozioni bancarie. Cliccando sull’annuncio, si viene reindirizzati a un sito malevolo che permette il download di un file APK infetto.
Una volta installato, il malware richiede l’accesso ai servizi di accessibilità di Android. Questo permesso, nato per aiutare gli utenti con disabilità, viene sfruttato per ottenere un controllo esteso sul dispositivo: Crocodilus può leggere lo schermo, simulare tocchi e digitazioni, avviare sessioni remote e, soprattutto, sovrapporre schermate false a quelle di app legittime.
Il meccanismo di attacco più comune di Crocodilus si basa proprio su questi overlay: schermate fasulle che imitano quelle di app bancarie o di gestione fondi. Le vittime, senza rendersene conto, inseriscono le proprie credenziali in un’interfaccia controllata dai criminali. A queste tecniche si aggiunge una funzione unica: la capacità di aggiungere nuovi contatti nella rubrica dello smartphone infetto. Su comando dal server di controllo, Crocodilus può inserire un contatto con un nome credibile – ad esempio “Assistenza bancaria” – associato a un numero controllato dagli attaccanti. Questo tragemmo serve probabilmente a eludere le nuove protezioni di Android che segnalano comportamenti sospetti durante le sessioni di condivisione dello schermo con contatti sconosciuti.
Secondo ThreatFabric, Crocodilus non è un malware statico, ma un progetto in continua evoluzione. Nel loro rapporto si legge: “Le ultime campagne che coinvolgono il trojan bancario Android Crocodilus segnalano un’evoluzione preoccupante sia nella sofisticazione tecnica del malware che nella sua portata operativa. […] sottolineando la sua transizione verso una minaccia veramente globale.”
Nonostante la complessità di questo malware, Google ha rassicurato che al momento “nessuna app contenente questo malware è disponibile su Google Play Store”.
