Acest troian sofisticat utilizează tehnici avansate pentru a prelua controlul asupra dispozitivelor infectate și pentru a sustrage informații sensibile, inclusiv date financiare și criptomonede. Deși este o amenințare recentă, Crocodilus se remarcă prin comportamentul complex și metodele inovative comparativ cu alte amenințări similare.
Metoda Crocodilus se maschează sub forma unei aplicații aparent inofensive, numită Google Chrome, cu scopul de a evita restricțiile impuse de sistemul de operare Android 13+ și să ajungă pe dispozitivele utilizatorilor. După instalare și lansare, aplicația cere permisiuni pentru a accesa serviciile de accesibilitate ale dispozitivului. În felul acesta, malware-ul poate interacționa cu aplicațiile financiare și cu cele de criptomonede instalate pe telefon.
După obținerea accesului necesar, Crocodilus se conectează la un server extern, de unde primește instrucțiuni detaliate despre țintele financiare vizate și tehnicile de capturare a datelor de autentificare. Unul dintre cele mai periculoase aspecte ale acestui malware este utilizarea unor suprapuneri HTML false, care induc utilizatorii în eroare. Acestea pot fi utilizate pentru a capta credențialele de acces la conturile bancare sau portofelele de criptomonede, prin afișarea unor mesaje false care sunt percepute ca legitime de victime.
Un alt aspect periculos al Crocodilus este modul în care vizează portofelele de criptomonede. În loc să utilizeze pagini de login false, acest troian folosește o tehnică de inginerie socială pentru a convinge victimele că trebuie să își salveze variantele de rezervă ale portofelelor, pentru a preveni pierderea accesului la criptomonedele deținute. Această capcană îi face pe utilizatori să acceseze o secțiune a aplicației unde își expun datele sensibile, iar malware-ul le fură.
Crocodilus monitorizează constant activitatea utilizatorilor de pe dispozitivele infectate, capturând interacțiunile cu aplicațiile vizate și realizând capturi de ecran ale aplicațiilor de securitate, cum ar fi Google Authenticator. Prin aceste metode, atacatorii pot obține acces complet la conturile financiare ale victimelor, fără ca acestea să își dea seama de pericolul iminent.
Pentru a masca activitatea malițioasă, Crocodilus include funcții care permit suprapunerea unui ecran negru și dezactivarea sunetului, astfel încât utilizatorii să nu observe comportamentele suspecte ale dispozitivului lor.