Il malware Android Crocodilus, uno dei trojan bancari più insidiosi scoperti nel 2025, si è aggiornato con una feature che fa fare un salto di qualità al suo social engineering, ovvero la capacità di auto-iniettare contatti fake direttamente nella rubrica del device compromesso.

Analizzato da Threat Fabric, Crocodilus era già noto per un arsenale di tecniche avanzate, ovvero: overlay phishing con UI spoofate per carpire credenziali, keylogger che monitorano ogni singolo input e l’abuso dei servizi di accessibilità Android per bypassare i meccanismi di sicurezza, tutto finalizzato a svuotare conti correnti e portafogli crypto.

La novità consiste nel fatto che questo malware è ora in grado di creare automaticamente voci false nella rubrica, utilizzando nomi di contatti “affidabili” come, per esempio, “Supporto Banca”. Questo trucchetto serve a far apparire le chiamate in entrata come provenienti da numeri attendibili, un bypass ingegnoso ai sistemi antifrode, che solitamente bloccano o ignorano le chiamate provenienti da numeri sconosciuti o anonimi.

Il dettaglio tecnico interessante è che questi contatti fasulli non vengono sincronizzati su cloud o account Google, restando solamente in locale. Ciò significa che la persistenza è limitata al device infetto, ma il rischio per l’utente resta altissimo, poichè la truffa guadagna in credibilità e realismo.

Dal punto di vista della diffusione, Crocodilus ha ampliato il suo raggio d’azione; originariamente diffuso principalmente in Turchia, il trojan ha ampliato il proprio raggio d’azione, propagandosi a livello globale attraverso APK contraffatti, store alternativi non ufficiali, campagne di phishing via email e link malevoli diffusi sui social network.

Per proteggersi da minacce come Crocodilus è importante scaricare le app esclusivamente da store ufficiali come Google Play, controllare sempre i permessi richiesti e le recensioni prima dell’installazione e restare vigili su eventuali comportamenti anomali del telefono, come rallentamenti improvvisi, consumo insolito di batteria o traffico dati sospetto.

Crocodilus conferma quanto le minacce mobile stiano diventando sempre più sofisticate, facendo leva su tecniche avanzate di ingegneria sociale e sfruttando persino funzionalità legittime del sistema operativo come strumenti d’attacco. Chi utilizza o sviluppa per Android deve mantenere un alto livello di attenzione e aggiornare costantemente le proprie strategie di difesa.