O mundo da ciberseguranรงa enfrenta uma nova ameaรงa sofisticada que estรก a revolucionar a forma como os criminosos digitais operam.
O trojan Crocodilus, descoberto inicialmente em marรงo de 2025, desenvolveu uma capacidade particularmente preocupante: criar contactos falsos nos dispositivos Android infetados para tornar as chamadas fraudulentas mais credรญveis.
Uma estratรฉgia de engenharia social sem precedentes
Esta nova funcionalidade representa um salto qualitativo nas tรฉcnicas de engenharia social utilizadas por cibercriminosos. Quando o Crocodilus infeta um dispositivo, pode adicionar automaticamente contactos falsos ร lista de contactos da vรญtima. Isto significa que, quando recebes uma chamada dos atacantes, o teu telefone nรฃo mostra um nรบmero desconhecido, mas sim um nome aparentemente legรญtimo como โApoio Bancรกrioโ ou โSuporte Tรฉcnicoโ.
A ThreatFabric, empresa holandesa de seguranรงa que tem acompanhado a evoluรงรฃo desta ameaรงa, explica que esta funcionalidade รฉ ativada atravรฉs do comando โTRU9MMRHBCROโ. Uma vez executado, o malware utiliza a API ContentProvider do Android para criar programaticamente novos contactos locais no dispositivo.
Esta estratรฉgia รฉ particularmente insidiosa porque explora a nossa tendรชncia natural para confiar em chamadas de contactos conhecidos. Quando vรชs โBanco de Portugalโ ou โSuporte Tรฉcnicoโ no teu ecrรฃ, รฉ natural baixares a guarda e atenderes a chamada.
Expansรฃo global de uma ameaรงa em crescimento
O que comeรงou como campanhas limitadas na Turquia transformou-se numa operaรงรฃo global que jรก atinge oito paรญses. As mais recentes campanhas do Crocodilus tรชm como alvo utilizadores na Polรณnia, Espanha, Argentina, Brasil, Indonรฉsia, รndia e Estados Unidos.
Na Polรณnia, os atacantes utilizaram anรบncios no Facebook para promover aplicaรงรตes de fidelizaรงรฃo falsas. Os dados de transparรชncia do Facebook revelaram que estes anรบncios alcanรงaram milhares de utilizadores em apenas uma ou duas horas, com foco particular em audiรชncias com mais de 35 anos.
Em Espanha, o malware disfarรงa-se como uma atualizaรงรฃo de navegador, tendo como alvo praticamente todos os principais bancos espanhรณis. Na Turquia, onde tudo comeรงou, continua a operar atravรฉs de aplicaรงรตes falsas de casinos online.
Capacidades tรฉcnicas cada vez mais sofisticadas
Para alรฉm da criaรงรฃo de contactos falsos, o Crocodilus incorporou vรกrias melhorias tรฉcnicas que o tornam mais perigoso e difรญcil de detetar. O malware utiliza agora tรฉcnicas de ofuscaรงรฃo avanรงadas, incluindo empacotamento de cรณdigo tanto no componente dropper como no payload, encriptaรงรฃo XOR adicional e cรณdigo intencionalmente complicado para dificultar a engenharia reversa.
Uma das funcionalidades mais preocupantes รฉ o coletor automatizado de frases-semente para carteiras de criptomoedas. O malware consegue extrair frases-semente e chaves privadas com maior precisรฃo, fornecendo aos atacantes dados prรฉ-processados para takeovers rรกpidos de contas.
O Crocodilus tambรฉm mantรฉm as suas capacidades originais de sobreposiรงรฃo de ecrรฃs falsos sobre aplicaรงรตes bancรกrias e de criptomoedas legรญtimas, captura de cรณdigos de autenticaรงรฃo de dois fatores atravรฉs do Google Authenticator, e controlo remoto completo do dispositivo infetado.
Mรฉtodos de distribuiรงรฃo em constante evoluรงรฃo
Os criminosos por trรกs do Crocodilus demonstram uma adaptabilidade notรกvel nos seus mรฉtodos de distribuiรงรฃo. Para alรฉm dos anรบncios no Facebook, utilizam sites maliciosos que se fazem passar por lojas de aplicaรงรตes legรญtimas, aproveitando-se de utilizadores que procuram aplicaรงรตes populares como o Google Chrome.
O malware consegue contornar as restriรงรตes implementadas no Android 13 e versรตes posteriores atravรฉs de um dropper proprietรกrio, solicitando depois permissรตes de Serviรงos de Acessibilidade que lhe permitem assumir o controlo total do dispositivo.
Como te podes proteger desta ameaรงa
A proteรงรฃo contra o Crocodilus requer uma abordagem multifacetada. Em primeiro lugar, mantรฉm-te sempre atento ร s permissรตes que concedes ร s aplicaรงรตes, especialmente aquelas que solicitam acesso aos Serviรงos de Acessibilidade.
Descarrega aplicaรงรตes apenas da Google Play Store ou de editores de confianรงa, e mantรฉm sempre ativo o Google Play Protect. Evita clicar em anรบncios suspeitos nas redes sociais, especialmente aqueles que prometem recompensas ou bรณnus por descarregar aplicaรงรตes.
Se suspeitares que o teu dispositivo pode estar infetado, verifica regularmente a tua lista de contactos em busca de entradas que nรฃo reconheรงas, monitoriza o consumo de bateria e dados do teu dispositivo, e mantรฉm-te atento a atividade suspeita nas tuas aplicaรงรตes bancรกrias e de criptomoedas.
A evoluรงรฃo do Crocodilus representa uma nova era na sofisticaรงรฃo do malware mรณvel, onde a engenharia social e as capacidades tรฉcnicas avanรงadas se combinam para criar ameaรงas particularmente perigosas para os utilizadores de Android.
