Asper alerta para novo trojan bancário Crocodilus.

28/07/2025 mindsecblog Notícias 0

Ameaça representa evolução técnica ao tomar controle de dispositivos em tempo real e eleva risco para bancos no Brasil

São Paulo, julho de 2025 – Uma nova e sofisticada ameaça cibernética, conhecida como Crocodilus, está desafiando as defesas do setor financeiro brasileiro. Este trojan bancário representa uma evolução perigosa ao permitir que fraudadores sequestrem sessões ativas e executem transações em tempo real, técnica conhecida como Device Takeover (DTO). Para combater essa ameaça, a Asper, por meio de seu Cyber Fusion Center (CFC), recomenda uma nova postura de segurança focada na orquestração de múltiplas camadas de defesa.

O surgimento do Crocodilus ocorre em um momento crítico. O Brasil, já considerado um “laboratório global” para malwares financeiros, foi responsável por 13 das 18 famílias de trojans bancários mais ativas do mundo. Dados da Serasa ainda apontam que o fenômeno, apelidado de “cangaço digital” pela Polícia Federal, gerou perdas de R$ 10,1 bilhões em 2024 e coloca o país, que viu um crescimento de 70% nos ataques móveis no último ano, no epicentro da inovação do cibercrime.

De acordo com Theo Brazil, CISO da Asper, o Crocodilus invalida a ideia de que a segurança de perímetro ou a simples detecção por assinatura são suficientes. A fraude acontece em uma sessão legítima, em um dispositivo confiável. “A defesa eficaz precisa acontecer no endpoint, com detecção comportamental que identifique o abuso de permissões em tempo real. A capacidade de isolar um dispositivo comprometido em menos de dez minutos é o que de fato impede a perda financeira”, afirma o executivo.

A Asper acredita na combinação de detecção e resposta em tempo real, com tecnologias EDR/XDR como a da CrowdStrike, e a validação contínua das defesas, usando plataformas como a da Cymulate para simular ataques e treinar equipes. Toda essa operação é orquestrada pela inteligência humana do Cyber Fusion Center, da Asper, que correlaciona alertas, contextualiza a ameaça e garante uma resposta ágil e conforme as exigências de reguladores como o Banco Central (BACEN).

Como o Crocodilus ataca?

Diferente de malwares que apenas roubam credenciais, o Crocodilus opera com notável complexidade técnica. Sua cadeia de infecção explora múltiplos vetores, de anúncios maliciosos a e-mails de phishing com arquivos PDF que, ao serem abertos, executam um script para instalar o malware.

De acordo com a Asper, o ponto central de seu poder reside na obtenção de permissão para os Serviços de Acessibilidade do Android. Com esse acesso, o Crocodilus passa a monitorar a tela para ler saldos e códigos de autenticação (OTP); atua como um keylogger avançado ao registrar toques para capturar senhas; e, de forma mais crítica, executa ações de forma autônoma, como preencher campos e confirmar transferências, sem qualquer interação da vítima. Para evitar a detecção, o trojan utiliza técnicas avançadas como sobreposição de telas falsas (overlay attacks), um modo stealth que opera com a tela do dispositivo apagada e canais de comunicação furtivos baseados em WebSockets cifrados.

A sofisticação do Crocodilus sinaliza uma mudança de paradigma, com a proteção reativa e manual tornando-se cada vez mais obsoleta. Segundo o CISO da Asper, “a resiliência contra o cibercrime moderno exige uma estratégia integrada de detecção ativa, automação inteligente e expertise humana, complementada por medidas preventivas como protocolos de dupla verificação e treinamento contínuo das equipes”, finaliza Theo Brazil.

Caso você tenha interesse no assunto, veja a discussão completa em https://blog.asper.tec.br/crocodilus-malware-bancario.