4 juni 2026
De Android banking trojan Crocodilus heeft nieuwe campagnes gelanceerd die gericht zijn op crypto-gebruikers en bankklanten in Europa en Zuid-Amerika.
Voor het eerst gedetecteerd in maart 2025, beperkte de vroege verspreiding van Crocodilus zich voornamelijk tot Turkije, waar de malware zich voordeed als online casino-apps of vervalste bankapplicaties om inloggegevens te stelen.
Recente campagnes tonen aan dat het nu ook doelen in Polen, Spanje, Argentinië, Brazilië, Indonesië, India en de Verenigde Staten aanvalt, volgens bevindingen van ThreatFabric’s Mobile Threat Intelligence (MTI) team.
Een campagne die gericht was op Poolse gebruikers maakte gebruik van Facebook-advertenties om nep-loyalty-apps te promoten. Door op de advertentie te klikken, werden gebruikers doorgestuurd naar kwaadaardige sites die een Crocodilus-dropper afleverden, welke in staat is om de beperkingen van Android 13+ te omzeilen.
De transparantiedata van Facebook toonde aan dat deze advertenties binnen één tot twee uur duizenden gebruikers bereikten, met een focus op doelgroepen ouder dan 35 jaar.
Na installatie overlayt Crocodilus vervalste inlogpagina’s bovenop legitieme bank- en crypto-apps. In Spanje deed het zich voor als een browserupdate en had het vrijwel alle grote banken als doelwit.
Naast de geografische uitbreiding heeft Crocodilus nieuwe functionaliteiten toegevoegd. Een opmerkelijke upgrade is de mogelijkheid om de contactenlijst van geïnfecteerde apparaten te wijzigen, waardoor aanvallers telefoonnummers kunnen invoegen die gelabeld zijn als “Bank Support,” wat kan worden gebruikt voor social engineering-aanvallen.
Een andere belangrijke verbetering is een geautomatiseerde collector voor seed-phrases bedoeld voor cryptocurrency-portefeuilles. De Crocodilus-malware kan nu met grotere precisie seed-phrases en particuliere sleutels extraheren, waardoor aanvallers snel overgenomen gegevens krijgen voor accountovernames.
Ondertussen hebben de ontwikkelaars de verdediging van Crocodilus versterkt door middel van diepere obfuscatie. De nieuwste variant bevat gecomprimeerde code, extra XOR-versleuteling en opzettelijk complexe logica om reverse engineering te bemoeilijken.
MTI-analisten hebben ook kleinere campagnes waargenomen die gericht zijn op cryptocurrency-mining-apps en Europese digitale banken.
“Net als zijn voorganger besteedt de nieuwe variant van Crocodilus veel aandacht aan cryptocurrency-portefeuille-apps,” aldus het rapport. “Deze variant was uitgerust met een extra parser die helpt bij het extraheren van seed-phrases en particuliere sleutels van specifieke portefeuilles.”
In een rapport van 22 april heeft de crypto-forensische en compliancefirma AMLBot onthuld dat crypto drainers, malware die is ontworpen om cryptocurrency te stelen, gemakkelijker toegankelijk zijn geworden nu het ecosysteem zich ontwikkelt naar een software-as-a-service businessmodel.
Het rapport onthulde dat malware-verdelers een drainer kunnen huren voor slechts 100-300 USDt (USDT).
Op 19 mei werd onthuld dat de Chinese printerfabrikant Procolored Bitcoin-stelende malware had verspreid samen met zijn officiële drivers.
Welke schade kan Crocodilus aanrichten?
Crocodilus kan gebruikersinformatie zoals inloggegevens van banken en cryptocurrency-portefeuilles stelen, en aanvallers in staat stellen om financiële accounts over te nemen.
Hoe kunnen gebruikers zich beschermen tegen deze malware?
Het is belangrijk om reguliere updates van apparaten en applicaties uit te voeren, verdachte links te vermijden, en alleen apps te downloaden vanuit betrouwbare bronnen.
Wat zijn crypto drainers?
Crypto drainers zijn een type malware dat is ontworpen om cryptocurrency van een slachtoffer te stelen door gevoelige informatie te extraheren, zoals private keys en seed-phrases.
Bitcoin (BTC)
Ethereum (ETH)
XRP (XRP)
