Crocodilus: il nuovo malware per Android che svuota i portafogli crypto

Crocodilus è il nuovo malware per Android che svuota i portafogli crypto. Colpisce wallet come MetaMask e agisce in modo furtivo.

Nel nostro ecosistema digitale, alcuni malware si distinguono non solo per la loro pericolosità, ma soprattutto per l’abilità con cui riescono a eludere i controlli più severi. In particolare, il mondo Android è stato scosso dall’apparizione sulla scena di un nuovo malware, progettato per colpire selettivamente gli utenti attivi nel settore delle criptovalute.

Cos’è Crocodilus?
Come funziona Crocodilus?
Best practices contro Crocodilus

Il suo entry point è un APK distribuito al di fuori dei canali monitorati da Google, noto per camuffarsi da app leggittima dedicata alla gestione dei portafogli digitali. Ciò rende chiaro il duplice obiettivo: raccolta di dati sensibili e controllo diretto sulle informazioni critiche. Il suo nome? Crocodilus, il nuovo malware dei cryptowallet.

Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

Cos’è Crocodilus?

Quando si parla di Crocodilus, si fa riferimento a un crypto malware di nuova generazione che prende di mira il settore mobile. In particolare, la sua infezione è mirata al sistema operativo Android, con un metodo che fa della massima discrezione il suo punto di forza. Infatti, a differenza di altri suoi illustri “colleghi”, Crocodilus si infiltra nei dispositivi che presentano una certa attività e un comportamento coerente con l’uso di cryptowallet. Attivo sulle scene sin dagli ultimi mesi del 2023, il malware è stato scoperto a seguito di massicce campagne di phishing mirato, con app clonate assenti dal Play Store.

Il suo metodo di diffusione principale è quello tipico di altri malware del genere: l’APK compromesso. Questi sono, infatti, distribuiti da fonti e marketplace esterni al Google Play Store, per cui privi di un controllo ufficiale da parte della casa di Mountain View. Ciò rappresenta un vantaggio non indifferente per i cybercriminali, in quanto possono accedere facilmente ai dispositivi degli utenti meno attenti. Una volta installato, il malware non mostra alcun comportamento anomalo evidente, rendendo difficile una diagnosi tempestiva da parte dell’utente medio.

Come funziona Crocodilus?

Scritto interamente in Kotlin, un linguaggio divenuto uno standard per lo sviluppo su Android, Crocodilus è caratterizzato da un’architettura modulare. Infatti, i suoi componenti sono scaricabili direttamente da server remoti. Tale elemento contribuisce non solo ad alleggerire il suo codice, ma anche a renderlo adattabile a seconda delle esigenze. A ciò si aggiunge il supporto nativo alle API di sistema, comprese quelle per i servizi di accessibilità, il ché lo rende facilmente integrabile con l’ambiente Android.

Vediamo più nel dettaglio alcune delle sue funzionalità chiave.

Tecniche di elusione

Per evitare il rilevamento da parte degli antivirus e delle sandbox, Crocodilus sfrutta diverse tecniche di evasione, tra cui l’uso dei flag isDebuggerConnected e isEmulator, oltre a controlli di runtime per identificare ambienti virtualizzati. Il codice è inoltre offuscato mediante strumenti dedicati, come ProGuard e R8, mentre alcune funzionalità critiche sono contenute in DEX dinamici. Questi ultimi vengono effettivamente scaricati solo a seguito della compromissione. La fase iniziale non richiede permessi sospetti, ma è solo dopo la prima esecuzione che il malware richiede privilegi di accessibilità, spesso mascherati dietro falsi pop-up o schermate di aggiornamento.

Persistenza e controllo remoto

Una volta installato, Crocodilus sfrutta i permessi di accessibilità per ottenere un controllo completo sul dispositivo infetto. Questo include la capacità di simulare tocchi, leggere notifiche, estrarre dati da altre app e disattivare eventuali contromisure. Per mantenere la persistenza, si assicura l’esecuzione automatica a ogni avvio sfruttando BroadcastReceiver e abilitando componenti nascosti tramite reflection. La comunicazione con il server di comando e controllo (C2) avviene attraverso canali HTTPS cifrati, con DNS dinamici e indirizzi IP che variano nel tempo, rendendo difficile l’attribuzione e il blocco.

Raccolta dati e furto di cryptowallet

L’obiettivo principale di Crocodilus è la sottrazione silenziosa e sistematica di informazioni sensibili, in particolare quelle legate all’utilizzo dei portafogli di criptovaluta. Dopo essersi assicurato la persistenza nel dispositivo della vittima, il malware avvia una fase di monitoraggio continua delle attività utente, focalizzandosi sulle principali applicazioni di cryptowallet, come MetaMask, o TrustWallet. Per appropriarsi del loro contenuto, Crocodilus ricorre all’overlay attack.

crocodilus-malware-android-infografica

Il malware genera interfacce sovrapposte visivamente identiche alle app legittime, inducendo l’utente a digitare seed phrase, credenziali o PIN al loro interno. Parallelamente, Crocodilus intercetta anche tutto ciò che viene copiato nella clipboard, in modo da sostituire gli indirizzi wallet copiati dall’utente con indirizzi controllati dagli attaccanti. Qualora le chiavi private vengano inserite manualmente, Crocodilus attiva un keylogger basato sull’accessibilità, in grado di registrare ogni pressione su schermo senza destare sospetti.

Tutti i dati vengono cifrati in locale e successivamente esfiltrati tramite connessioni HTTPS verso il server Command & Control di riferimento. In questo modo, Crocodilus compromette interi portafogli crypto, sfruttando la fiducia dell’utente e le debolezze del sistema operativo.

Best practices contro Crocodilus

Al fine di prevenire un’infezione da trojan bancario, in particolare da una minaccia silenziosa come Crocodilus, si devono adottare una serie di pratiche difensive specifiche e mirate. Questo perché vanno salvaguardati sia i propri dati sensibili, che le proprie transazioni. Di seguito sono riportate alcune best practices atte a ridurre l’esposizione al rischio.

Installare applicazioni Android solo da fonti ufficiali.
Il Google Play Store è l’unico canale autorizzato. L’installazione da store alternativi o da APK scaricati manualmente è il principale enrty point per malware come Crocodilus.
Revocare permessi anomali.
App di wallet non devono accedere a funzionalità come l’accessibilità o la clipboard. Ogni richiesta sospetta va considerata come possibile indicatore di compromissione.
Disabilitare l’installazione da origini sconosciute.
Con la disattivazione permanente dell’opzione Installa da origini sconosciute di Android, si impedisce l’installazione accidentale di software malevolo.
Utilizzare soluzioni di sicurezza mobile.
Antivirus professionali costantemente aggiornati, come ESET Mobile Security, o Sophos, in congiunzione ad app di mobile hardening, possono identificare comportamenti anomali o comunicazioni sospette.
Eseguire regolarmente gli aggiornamenti di sistema.
Molti malware Android sfruttano vulnerabilità non patchate. Mantenere aggiornato il sistema riduce le possibilità di exploit riusciti.
Formare gli utenti più esposti.
Chi gestisce crypto wallet aziendali o personali dev’essere formato per riconoscere app fake, overlay attack e tentativi di phishing mirato.

In conclusione

In base a quanto discusso, possiamo affermare che Crocodilus rappresenta l’ennesima evoluzione dei malware bancari. Il suo funzionamento discreto, la capacità di adattarsi al comportamento dell’utente e le tecniche avanzate di furto dei dati ne fanno una minaccia in grado di compromettere anche il più protetto dei wallet digitali.

Questo scenario ci ricorda ancora una volta che il perimetro mobile non è un ambiente secondario, ma un bersaglio primario per il cybercrime. La fiducia riposta in dispositivi Android, spesso privi di sistemi di protezione avanzati, è troppo spesso mal riposta. Ecco perché si torna a ribadire che prevenzione, consapevolezza e aggiornamento costante restano le uniche contromisure efficaci contro minacce del genere.

Ricordiamo sempre che questo nostro mondo digitale è più affascinante di quanto possiamo immaginare, ma anche più pericoloso di quanto possiamo credere.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, laureato in Informatica e Comunicazione Digitale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.