O mundo da cibersegurança enfrenta uma nova ameaça sofisticada que está a revolucionar a forma como os criminosos digitais operam.
O trojan Crocodilus, descoberto inicialmente em março de 2025, desenvolveu uma capacidade particularmente preocupante: criar contactos falsos nos dispositivos Android infetados para tornar as chamadas fraudulentas mais credíveis.
Uma estratégia de engenharia social sem precedentes
Esta nova funcionalidade representa um salto qualitativo nas técnicas de engenharia social utilizadas por cibercriminosos. Quando o Crocodilus infeta um dispositivo, pode adicionar automaticamente contactos falsos à lista de contactos da vítima. Isto significa que, quando recebes uma chamada dos atacantes, o teu telefone não mostra um número desconhecido, mas sim um nome aparentemente legítimo como “Apoio Bancário” ou “Suporte Técnico”.
A ThreatFabric, empresa holandesa de segurança que tem acompanhado a evolução desta ameaça, explica que esta funcionalidade é ativada através do comando “TRU9MMRHBCRO”. Uma vez executado, o malware utiliza a API ContentProvider do Android para criar programaticamente novos contactos locais no dispositivo.
Esta estratégia é particularmente insidiosa porque explora a nossa tendência natural para confiar em chamadas de contactos conhecidos. Quando vês “Banco de Portugal” ou “Suporte Técnico” no teu ecrã, é natural baixares a guarda e atenderes a chamada.
Expansão global de uma ameaça em crescimento
O que começou como campanhas limitadas na Turquia transformou-se numa operação global que já atinge oito países. As mais recentes campanhas do Crocodilus têm como alvo utilizadores na Polónia, Espanha, Argentina, Brasil, Indonésia, Índia e Estados Unidos.
Na Polónia, os atacantes utilizaram anúncios no Facebook para promover aplicações de fidelização falsas. Os dados de transparência do Facebook revelaram que estes anúncios alcançaram milhares de utilizadores em apenas uma ou duas horas, com foco particular em audiências com mais de 35 anos.
Em Espanha, o malware disfarça-se como uma atualização de navegador, tendo como alvo praticamente todos os principais bancos espanhóis. Na Turquia, onde tudo começou, continua a operar através de aplicações falsas de casinos online.
Capacidades técnicas cada vez mais sofisticadas
Para além da criação de contactos falsos, o Crocodilus incorporou várias melhorias técnicas que o tornam mais perigoso e difícil de detetar. O malware utiliza agora técnicas de ofuscação avançadas, incluindo empacotamento de código tanto no componente dropper como no payload, encriptação XOR adicional e código intencionalmente complicado para dificultar a engenharia reversa.
Uma das funcionalidades mais preocupantes é o coletor automatizado de frases-semente para carteiras de criptomoedas. O malware consegue extrair frases-semente e chaves privadas com maior precisão, fornecendo aos atacantes dados pré-processados para takeovers rápidos de contas.
O Crocodilus também mantém as suas capacidades originais de sobreposição de ecrãs falsos sobre aplicações bancárias e de criptomoedas legítimas, captura de códigos de autenticação de dois fatores através do Google Authenticator, e controlo remoto completo do dispositivo infetado.
Métodos de distribuição em constante evolução
Os criminosos por trás do Crocodilus demonstram uma adaptabilidade notável nos seus métodos de distribuição. Para além dos anúncios no Facebook, utilizam sites maliciosos que se fazem passar por lojas de aplicações legítimas, aproveitando-se de utilizadores que procuram aplicações populares como o Google Chrome.
O malware consegue contornar as restrições implementadas no Android 13 e versões posteriores através de um dropper proprietário, solicitando depois permissões de Serviços de Acessibilidade que lhe permitem assumir o controlo total do dispositivo.
Como te podes proteger desta ameaça
A proteção contra o Crocodilus requer uma abordagem multifacetada. Em primeiro lugar, mantém-te sempre atento às permissões que concedes às aplicações, especialmente aquelas que solicitam acesso aos Serviços de Acessibilidade.
Descarrega aplicações apenas da Google Play Store ou de editores de confiança, e mantém sempre ativo o Google Play Protect. Evita clicar em anúncios suspeitos nas redes sociais, especialmente aqueles que prometem recompensas ou bónus por descarregar aplicações.
Se suspeitares que o teu dispositivo pode estar infetado, verifica regularmente a tua lista de contactos em busca de entradas que não reconheças, monitoriza o consumo de bateria e dados do teu dispositivo, e mantém-te atento a atividade suspeita nas tuas aplicações bancárias e de criptomoedas.
A evolução do Crocodilus representa uma nova era na sofisticação do malware móvel, onde a engenharia social e as capacidades técnicas avançadas se combinam para criar ameaças particularmente perigosas para os utilizadores de Android.
