Malware Android Crocodilus Mengambil Kendali Penuh Perangkat untuk Menguras Dompet Crypto

• Crocodilus menyalahgunakan Layanan Aksesibilitas Android untuk membaca frasa pemulihan, mencatat ketukan tombol, dan memulai transfer setelah membuka kunci biometrik
• Malware ini pertama kali muncul di Turki pada Maret 2025 dan dengan cepat menyebar ke Eropa, Amerika Selatan, India, dan Indonesia pada pertengahan 2025
• Distribusi terjadi melalui iklan berbahaya, aplikasi dompet palsu, dan halaman pembaruan browser palsu yang menawarkan hadiah atau bonus

Crocodilus, keluarga malware Android yang pertama kali diidentifikasi pada Maret 2025, telah berkembang untuk menargetkan dompet cryptocurrency dengan memanfaatkan izin sistem untuk mendapatkan kendali operasional penuh atas perangkat yang terinfeksi. Varian terbaru dari malware ini dapat mencuri frasa pemulihan, menjalankan aksi jarak jauh, dan menguras aset langsung dari aplikasi dompet mobile.

Malware ini beroperasi dengan menyalahgunakan Layanan Aksesibilitas Android dan izin overlay untuk membaca teks di layar, mengamati antarmuka aplikasi, mencatat ketukan tombol, dan menyadap kode satu kali dari alat otentikasi, menurut 1inch. Dikombinasikan dengan modul akses jarak jauh, penyerang dapat mengoperasikan ponsel yang terkompromi seolah-olah mereka memegangnya secara fisik.

Kontrol Jarak Jauh Memungkinkan Pencurian Aset Setelah Pembukaan Kunci

Setelah dompet dibuka melalui metode apa pun, termasuk biometrik, Crocodilus dapat membuka aplikasi, menavigasi antarmuka, dan memulai transfer tanpa input pengguna. Beberapa varian menampilkan prompt cadangan dompet palsu yang dirancang untuk meniru antarmuka yang sah, menipu pengguna agar memasukkan kembali frasa pemulihan mereka. Ketika dimasukkan di perangkat yang terinfeksi, penyerang langsung menerima kredensial tersebut dan mendapatkan kendali permanen atas aset.

Malware ini telah mengembangkan kemampuan rekayasa sosial yang canggih. Versi tertentu membuat kontak dukungan palsu yang meniru penyedia dompet atau bursa. Jika korban memperhatikan aktivitas yang tidak biasa dan mencoba menghubungi dukungan, mereka tanpa sadar dapat menghubungi penyerang, yang kemudian memanipulasi mereka untuk mengungkapkan informasi sensitif tambahan atau menyetujui tindakan berbahaya.

Perluasan Cepat Secara Global Sejak Penemuan Maret

Crocodilus pertama kali muncul di Turki selama kampanye pengujian pada Maret 2025. Dalam beberapa minggu, operasi berkembang ke Spanyol dan Polandia, dan pada pertengahan 2025, malware ini aktif di berbagai bagian Amerika Selatan, India, Indonesia, dan daerah terpencil di Amerika Serikat, menurut ThreatFabric.

Malware ini terutama menyebar melalui iklan berbahaya, termasuk yang muncul di Facebook. Di Polandia, iklan yang meniru platform bank dan e-commerce muncul lebih dari 1.000 kali dalam satu hingga dua jam, menargetkan pengguna berusia di atas 35 tahun. Metode distribusi tambahan meliputi aplikasi dompet palsu dan halaman unduhan palsu yang meniru pembaruan browser atau alat cryptocurrency.

Para peneliti keamanan menyarankan untuk menghindari file APK yang tidak dikenal dan memeriksa aplikasi mana yang memiliki izin Layanan Aksesibilitas diaktifkan. Aplikasi dompet yang sah, bursa, dan otentikator tidak memerlukan aksesibilitas penuh. Pengguna sebaiknya tidak memasukkan kembali frasa pemulihan di perangkat mobile kecuali saat melakukan pemulihan yang sah, karena prompt yang tidak terduga biasanya menandakan penipuan. Jika dicurigai terjadi infeksi, pengguna harus segera memutus koneksi perangkat dan memindahkan aset yang tersisa ke lingkungan yang bersih atau dompet perangkat keras.