De Android banking trojan Crocodilus is terug en gevaarlijker dan ooit. Wat begon als een regionale bedreiging in Turkije, groeit nu uit tot een wereldwijde plaag die crypto-gebruikers en bankklanten in Europa, Zuid-Amerika en daarbuiten treft.
Met slimme trucs zoals nep-advertenties en geavanceerde seedphrase-diefstal richt deze malware zich op je bankrekening én je crypto-wallet. Wat maakt Crocodilus zo’n grote zorg? Laten we de details induiken.
Van Turkije naar wereldwijde dreiging
Crocodilus dook voor het eerst op in maart 2025, voornamelijk actief in Turkije. Daar vermomde de malware zich als online casino-apps of nagemaakte bank-apps om inloggegevens te stelen. Maar volgens recente bevindingen van ThreatFabric’s Mobile Threat Intelligence (MTI)-team heeft Crocodilus zijn vleugels uitgeslagen.
Nieuwe campagnes richten zich nu op landen zoals Polen, Spanje, Argentinië, Brazilië, Indonesië, India en zelfs de VS. Een opvallende aanval in Polen gebruikte Facebook-advertenties om nep-loyaliteitsapps te promoten.
Gebruikers die op de advertentie klikten, belandden op kwaadaardige websites die een Crocodilus-dropper installeerden. Deze dropper omzeilt de beveiligingsbeperkingen van Android 13 en hoger.
Volgens Facebook-transparantiegegevens bereikten deze advertenties in slechts 1-2 uur duizenden gebruikers, vooral 35-plussers – een doelgroep met vaak meer financiële middelen.
Slimme trucs en nieuwe functies
Eenmaal geïnstalleerd, legt Crocodilus nep-inlogschermen over legitieme bank- en crypto-apps heen. In Spanje deed de malware zich bijvoorbeeld voor als een browserupdate, gericht op vrijwel alle grote banken. Maar de trojan gaat verder dan alleen inloggegevens stelen. Twee nieuwe functies maken Crocodilus extra gevaarlijk:
- Manipulatie van contactlijsten: De malware voegt telefoonnummers toe aan je contacten, gelabeld als “Bank Support”. Dit opent de deur voor social engineering-aanvallen, waarbij slachtoffers worden gebeld door oplichters die zich voordoen als bankmedewerkers.
- Seedphrase-diefstal: Een geautomatiseerde tool verzamelt nu seedphrases en privésleutels van crypto-wallets met ongekende precisie. Dit levert aanvallers kant-en-klare data voor snelle accountovernames.
Daarnaast hebben de ontwikkelaars Crocodilus versterkt met diepere obfuscatie, zoals extra XOR-encryptie en complexe logica om analyse te bemoeilijken. Dit maakt het lastiger voor beveiligingssoftware om de malware te detecteren.
Crypto-drainers als verdienmodel
Crocodilus richt zich niet alleen op banken, maar heeft een speciale focus op crypto-wallets. “Deze nieuwe variant besteedt veel aandacht aan cryptocurrency-wallet-apps,” stelt het MTI-rapport. Een extra parser helpt bij het extraheren van seedphrases en privésleutels van specifieke wallets, wat de kans op succesvolle diefstal vergroot.
Volgens een rapport van AMLBot (22 april 2025) zijn crypto-drainers zoals Crocodilus steeds toegankelijker. Criminelen kunnen deze malware huren voor slechts 100-300 USDT via een software-as-a-service-model, wat de drempel voor cybercrime verlaagt.
Hoe bescherm je jezelf?
Crocodilus is een wake-upcall voor Android-gebruikers. De malware misbruikt toegankelijkheidsfuncties en slimme social engineering om slachtoffers te misleiden. Hier zijn een paar tips om jezelf te beschermen:
- Wees sceptisch over advertenties: Klik niet zomaar op downloadlinks in advertenties, vooral op social media.
- Controleer app-machtigingen: Wees voorzichtig met apps die toegang vragen tot toegankelijkheidsfuncties.
- Vermijd sideloaden: Download apps alleen uit officiële bronnen zoals de Google Play Store.
- Check verdachte berichten: Vertrouw geen onverwachte “beveiligingswaarschuwingen” zonder verificatie.
ThreatFabric waarschuwt dat traditionele antivirussoftware vaak tekortschiet tegen moderne trojans zoals Crocodilus, en stelt dat banken en gebruikers moeten overstappen naar gedragsgebaseerde detectie en apparaatrisicoprofielen om deze dreiging te counteren.
De focus op oudere, welgestelde gebruikers en de lage kosten voor criminelen maken deze trojan extra zorgwekkend. Blijf dan ook waakzaam en houd je apparaten up-to-date om deze sluwe vijand buiten de deur te houden.
Het bericht Crocodilus malware landt in Europa: Crypto-wallets en bank-apps lopen gevaar! verscheen eerst op CryptoBenelux.