Onderzoekers hebben nieuwe bankmalware ontdekt die contacten aan besmette Androidtelefoons toevoegt, vermoedelijk voor het plegen van bankhelpdeskfraude. De malware, met de naam Crocodilus, wordt verspreid via advertenties op Facebook. De advertenties laten gebruikers geloven dat de aangeboden app van een bank is en ze bonuspunten krijgen door die te downloaden en installeren. Ook worden advertenties gebruikt die zich voordoen als browser-updates of van een online casino lijken.

De Crocodilus-malware is speciaal ontworpen voor het plegen van bankfraude en kan aanvallers op afstand toegang tot besmette toestellen geven. Een opmerkelijke feature is de mogelijkheid van de malware om contacten aan de contactenlijst op geïnfecteerde telefoons toe te voegen. Onderzoekers van securitybedrijf ThreatFabric denken dat dit is gedaan om een telefoonnummer onder een overtuigende naam zoals "bankhelpdesk" toe te voegen, waardoor aanvallers legitiem lijken als ze het slachtoffer opbellen. Dit zou ook fraudepreventiemaatregelen kunnen omzeilen die onbekende telefoonnummers signaleren.

Naast bankrekeningen heeft de malware het ook voorzien op cryptowallets. Zo probeert de malware seed phrases en private keys van bepaalde wallets te stelen. In eerste instantie gebruikte de malware hiervoor social engineering, maar nu wordt de AccessibilityLogging feature van Android gebruikt. Daardoor kunnen de seed phrases automatisch worden verzameld. De onderzoekers hebben campagnes om de malware te verspreiden in verschillende Europese landen ontdekt, alsmede Zuid-Amerika.