Um novo trojan bancário chamado Crocodilus tem ganhado força em campanhas maliciosas contra usuários de dispositivos Android em diversos países, incluindo o Brasil. A ameaça, identificada inicialmente em março de 2025, vem se espalhando por regiões da Europa, América do Sul e Ásia, com táticas cada vez mais sofisticadas para roubo de dados financeiros.
O alerta é da ThreatFabric, empresa holandesa de segurança digital, que identificou uma expansão no alcance geográfico e melhorias contínuas no funcionamento do malware.
Segundo o relatório, o Crocodilus é capaz de se disfarçar de aplicativos legítimos, como o Google Chrome, e utiliza permissões do sistema para espionar ações do usuário e roubar credenciais de aplicativos bancários.

Expansão global e disfarces perigosos
Após os primeiros casos registrados na Espanha e na Turquia, o malware passou a atingir também Argentina, Brasil, Índia, Indonésia e Estados Unidos. As campanhas usam diferentes estratégias para enganar as vítimas.
Na Polônia, por exemplo, criminosos têm recorrido a anúncios falsos no Facebook, prometendo recompensas para quem instalar um aplicativo supostamente vinculado a bancos ou plataformas de e-commerce. Já em outros países, o golpe aparece como uma “atualização de navegador” ou como um “cassino online”.
Ao clicar nesses links, a vítima é levada a um site malicioso que distribui o Crocodilus por meio de um conta-gotas (dropper, um tipo de cavalo de Tróia). Uma vez instalado, o malware consegue iniciar ataques de sobreposição, exibindo telas falsas sobre aplicativos legítimos para capturar dados de login e senhas bancárias.

Recursos avançados e risco para carteiras de criptomoedas
Além de roubo de credenciais, o Crocodilus também foca em criptomoedas. Ele é capaz de capturar frases-semente — palavras usadas para recuperar carteiras digitais — explorando os serviços de acessibilidade do Android. Com isso, os operadores do malware podem esvaziar contas e transferir ativos virtuais sem o conhecimento do usuário.
As versões mais recentes incluem ainda técnicas avançadas de ofuscação, que dificultam a análise do código por especialistas em cibersegurança.
Uma das novidades mais preocupantes é a habilidade de adicionar contatos à agenda da vítima com nomes falsos como “Suporte Bancário”. Com isso, os criminosos se passem por atendentes de instituições financeiras, contornando alertas de segurança do Android que identificam ligações de números desconhecidos durante sessões de compartilhamento de tela.
Recomendações de segurança
Usuários de Android devem redobrar a atenção ao instalar aplicativos fora da Play Store e evitar clicar em links suspeitos, especialmente em anúncios online e mensagens recebidas por redes sociais. Atualizações de segurança e o uso de antivírus confiáveis continuam sendo medidas importantes para mitigar esse tipo de ataque.
Para ficar por dentro das principais notícias de tecnologia, siga o TechShake no Instagram.
Com informações de The Hacker News e ThreatFabric.
VEJA TAMBÉM!