Nel panorama sempre più insidioso della sicurezza mobile, una nuova minaccia si sta rapidamente diffondendo: si chiama Crocodilus ed è un malware bancario Android altamente sofisticato.
Scoperto da ThreatFabric nel marzo 2025, Crocodilus ha già colpito diversi paesi, tra cui Turchia, Spagna, Polonia e diverse aree del Sud America, ma il suo raggio d’azione si sta allargando rapidamente e l’Italia risulta tra i potenziali prossimi obiettivi.
Fonte: ThreatFabric.
Indice degli argomenti
Crocodilus: una minaccia in rapida evoluzione
Crocodilus è un trojan bancario modulare e in continua trasformazione. Nato come strumento relativamente semplice, ha già incorporato funzionalità avanzate che lo rendono estremamente pericoloso.
Tecniche di offuscamento, persistenza nel sistema, e attacchi mirati a wallet di criptovalute sono solo alcune delle sue capacità attuali.
Come avviene l’infezione
Il malware Crocodilus viene distribuito principalmente tramite annunci fraudolenti sui social network (come Facebook), che promuovono applicazioni contraffatte: aggiornamenti del browser, casinò online o software di trading.
Fonte: ThreatFabric.
Seguendo il link, l’utente viene indirizzato a un sito malevolo da cui scarica un APK infetto. Una volta installato, l’applicazione richiede l’accesso al Servizio di Accessibilità Android, un permesso critico che consente al malware di:
- controllare completamente l’interfaccia del dispositivo;
- leggere e simulare input utente;
- visualizzare contenuti sullo schermo;
- avviare sessioni remote.
Tecniche di attacco di Crocodilus
Crocodilus utilizza una combinazione di tecniche di social engineering e overlay visivi per carpire dati sensibili.
Tra gli obiettivi principali:
- le seed phrase dei wallet crypto;
- le credenziali bancarie;
- codici di autenticazione 2FA;
- app di pagamento o gestione fondi.
Una volta ottenute le informazioni, gli operatori possono avviare trasferimenti fraudolenti o prendere il pieno controllo degli account.
Fonte: ThreatFabric.
L’Italia come potenziale bersaglio
Poiché, secondo i ricercatori di ThreatFabric, la campagna Crocodilus è altamente modulare e geograficamente flessibile, non è escluso che anche l’Italia venga presto inserita nella lista dei paesi target.
L’infrastruttura di comando e controllo del malware è già predisposta per attivare nuovi moduli o traduzioni linguistiche in tempo reale, rendendolo facilmente adattabile al contesto italiano.
Come difendersi da Crocodilus
Crocodilus non è un malware comune: la sua struttura modulare, la velocità con cui evolve e la sofisticazione delle sue tecniche lo rendono una minaccia concreta, anche per utenti esperti.
In questo scenario dove l’Italia potrebbe presto diventare bersaglio diretto, è fondamentale adottare una mentalità proattiva: aggiornare costantemente i dispositivi, evitare app non verificate e dotarsi di strumenti di sicurezza adeguati.
Per proteggersi da Crocodilus e da minacce simili, è consigliabile:
- installare app solo dal Google Play Store ed evitare APK scaricati da link sospetti;
- non concedere permessi di accessibilità se non strettamente necessari;
- verificare l’autenticità degli annunci online;
- utilizzare un antivirus aggiornato e affidabile anche per i dispositivi mobile.
“In particolare, le sue campagne non sono più limitate a una sola area geografica; il malware ha esteso la sua portata a nuove aree geografiche, evidenziando la sua trasformazione in una minaccia realmente globale”, conclude il rapporto di ThreatFabric. Che aggiunge: “Questo cambiamento non solo amplia il potenziale impatto, ma suggerisce anche la presenza di un attore di minacce più organizzato e adattabile dietro la sua diffusione”.
