Uma nova e astuta versão do malware para Android, apelidado de 'Crocodilus', está a dar que falar – e não pelas melhores razões. A mais recente atualização desta ameaça introduziu uma tática particularmente manhosa: adiciona um contacto falso à lista de contactos do dispositivo infetado. O objetivo? Enganar as vítimas quando recebem chamadas dos cibercriminosos, fazendo-as parecer legítimas.
Esta funcionalidade engenhosa surge juntamente com outras melhorias focadas principalmente em táticas de evasão, indicando que o Crocodilus está a alargar os seus horizontes e a tornar-se uma ameaça global.
A nova manha do Crocodilus: Contactos falsos para enganar
A capacidade de adicionar um contacto fictício ao telemóvel da vítima é, sem dúvida, a novidade mais alarmante. Ao fazê-lo, quando os atacantes ligam, o dispositivo exibe o nome forjado guardado nos contactos (por exemplo, "Apoio Bancário" ou o nome de um familiar) em vez de um número desconhecido ou suspeito. Isto aumenta drasticamente a probabilidade de a vítima confiar na chamada e, potencialmente, fornecer informações sensíveis ou seguir instruções maliciosas.
De ameaça local a pesadelo global
O Crocodilus foi documentado pela primeira vez pelos investigadores da Threat Fabric no final de março de 2025. Nessa altura, destacaram as suas vastas capacidades de roubo de dados e controlo remoto. As versões iniciais já demonstravam tentativas rudimentares de engenharia social, com mensagens de erro falsas que instigavam o utilizador a fazer um "backup" da chave da sua carteira de criptomoedas num prazo de 12 horas, sob pena de perder o acesso à mesma.
Inicialmente, o Crocodilus parecia confinado a pequenas campanhas na Turquia. Contudo, a Threat Fabric, que continuou a monitorizar a operação, observou uma expansão significativa, com o malware a visar agora utilizadores em todos os continentes.
Como funciona o golpe do contacto falso?
A adição do contacto falso é acionada através de um comando específico enviado ao malware. "Ao receber o comando 'TRU9MMRHBCRO', o Crocodilus adiciona um contacto especificado à lista de contactos da vítima", explica a Threat Fabric no seu relatório. "Acreditamos que a intenção é adicionar um número de telefone sob um nome convincente, como 'Apoio Bancário', permitindo ao atacante ligar à vítima parecendo legítimo."
É importante notar que este contacto falso não é sincronizado com a conta Google do utilizador, pelo que não se propagará para outros dispositivos onde a conta esteja ligada.
Crocodilus mais esperto: Evasão e recolha de dados melhoradas
Para além da tática do contacto falso, as versões mais recentes do Crocodilus trouxeram melhorias significativas nas suas capacidades de evasão:
- Empacotamento de código: O componente "dropper" (o instalador inicial do malware) utiliza técnicas de empacotamento para dificultar a sua deteção.
- Encriptação XOR: Uma camada extra de encriptação XOR é aplicada ao "payload" (a carga maliciosa principal).
- Convolução e entrelaçamento de código: Estas técnicas tornam a engenharia reversa do malware uma tarefa mais complexa para os analistas de segurança.
- Análise local de dados: O malware agora consegue processar os dados roubados localmente no dispositivo infetado antes de os enviar para os atacantes, permitindo uma recolha de informações de maior qualidade.
Mantenha o seu Android seguro: Dicas essenciais
O Crocodilus demonstra uma evolução rápida e uma clara preferência por técnicas de engenharia social, o que o torna particularmente perigoso. Para se proteger, os utilizadores de Android devem seguir estas recomendações:
- Fontes fidedignas: Descarregue aplicações apenas da Google Play Store ou de outras lojas de aplicações e editoras de confiança.
- Play Protect ativo: Certifique-se de que o Google Play Protect está sempre ativo no seu dispositivo.
- Minimize as aplicações: Mantenha apenas as aplicações essenciais instaladas no seu dispositivo.
- Desconfie de permissões: Seja cético em relação a aplicações que pedem permissões que não parecem necessárias para a sua funcionalidade.
- Atenção a chamadas inesperadas: Mesmo que o nome do contacto pareça familiar, se a chamada for inesperada ou pedir informações sensíveis, desconfie e, se possível, contacte a entidade ou pessoa em questão através de um canal de comunicação conhecido e seguro para verificar a legitimidade.
Nenhum comentário
Seja o primeiro!