Ein neuer, fortschrittlicher Android-Malware namens Crocodilus verbreitet sich rasend schnell und stiehlt Bank- und Kryptodaten von Benutzern in unter anderem Polen, Spanien, Argentinien und Brasilien.
Der Trojaner, der erstmals im März 2025 entdeckt wurde, begann seine Angriffe in der Türkei über gefälschte Bank-Apps und Casino-Apps. Mittlerweile ist die Bedrohung viel größer geworden: Benutzer in mehreren Ländern sind einem finanziellen Schaden ausgesetzt.
Malware Crocodilus verbreitet sich über Facebook-Werbung
Laut dem Cybersicherheitsunternehmen ThreatFabric verbreitet sich Crocodilus in jüngsten Kampagnen unter anderem über irreführende Facebook-Werbung. In Polen wurden Benutzer mit falschen Treue-Apps gelockt. Ein Klick auf die Werbung führte zu einer bösartigen Website, wo die Malware automatisch heruntergeladen wurde.
Die Malware kann sogar Sicherheitsmaßnahmen von Android 13 und höher umgehen. Aus Facebook-Transparenzdaten geht hervor, dass einige dieser Werbungen innerhalb weniger Stunden Tausende von Menschen erreichten, vor allem Benutzer über 35 Jahre.
Gefälschte Anmeldebildschirme und clevere Tricks zum Stehlen von Daten
Sobald Crocodilus auf einem Gerät aktiv ist, zeigt es gefälschte Anmeldebildschirme über echten Bank- oder Kryptowallet-Apps an. So werden Benutzer unbemerkt ihrer Anmeldedaten beraubt. In Spanien verbreitet sich die Malware als sogenanntes Browser-Update und zielt auf fast alle großen Banken ab.
Die Malware ist technisch sehr fortschrittlich. So kann sie Kontaktlisten anpassen und gefälschte Nummern einfügen, die als „Bankunterstützung“ gespeichert sind. Diese Methode wird für Social Engineering-Angriffe eingesetzt, bei denen Opfer telefonisch getäuscht werden.
Kryptobenutzer schwer getroffen durch Diebstahl von Seedphrases und privaten Schlüsseln
Crocodilus zielt insbesondere auf Kryptowährungs-Benutzer ab. Die Malware ist in der Lage, sogenannte Seedphrases und private Schlüssel von Kryptowallets abzufangen. Damit können Cyberkriminelle schnell und einfach auf digitale Guthaben zugreifen.
Auch Kryptomining-Apps und digitale Banken in Europa sind Ziel. Die Malware enthält sogar spezialisierte Software, um spezifische Kryptowallets auszulesen. Dadurch ist Crocodilus derzeit eine der größten Bedrohungen für Krypto-Investoren auf Android.
Malware schwer zu erkennen durch fortschrittliche Techniken
Um Erkennung zu vermeiden, verwendet Crocodilus verschlüsselten und verborgenen Code. Die Malware enthält komplizierte Logik und zusätzliche Sicherheitsschichten, die es Forschern schwer machen, sie zu analysieren oder zu stoppen.
Laut einem Bericht von AMLBOT aus April 2025 wächst die Nutzung von sogenannter „Crypto-Draining Malware“ schnell. Kriminelle können diese Tools über ein Software-as-a-Service-Modell mieten, für nur 100 bis 300 USDT.
Warnung: Selbst offizielle Software nicht mehr zuverlässig
Am 19. Mai wurde zudem bekannt, dass ein chinesischer Druckerhersteller Malware über offizielle USB-Treiber verbreitete. Die infizierte Software wurde weltweit über Cloudspeicher geteilt und konnte Bitcoin von ahnungslosen Benutzern stehlen.
Android-Benutzer werden dringend geraten, nur Apps über offizielle Plattformen wie den Google Play Store herunterzuladen. Seien Sie besonders vorsichtig beim Klicken auf Werbung und beim Installieren von Updates außerhalb vertrauenswürdiger App-Stores.