Peneliti keamanan siber mengidentifikasi ancaman baru di dunia perangkat mobile: malware perbankan Android bernama Crocodilus, yang secara khusus menargetkan pengguna di Spanyol dan Turki. Malware ini menunjukkan tingkat kecanggihan yang tinggi sejak awal kemunculannya, berbeda dari varian trojan lain yang biasanya berkembang secara bertahap.

Menurut laporan dari perusahaan keamanan siber asal Belanda, ThreatFabric, Crocodilus hadir bukan sebagai tiruan malware sebelumnya, melainkan sebagai trojan yang sudah matang. Malware ini dibekali dengan berbagai teknik modern seperti:

Salah satu kemampuan utama Crocodilus adalah mengontrol perangkat korban dan melakukan transaksi palsu (fraudulent transactions) secara diam-diam. Dari hasil analisis kode sumber dan pesan debug, diketahui bahwa pembuat malware ini kemungkinan besar adalah penutur bahasa Turki.

Crocodilus menyamar sebagai aplikasi Google Chrome (dengan nama paket quizzical.washbowl.calamity) untuk mengecoh pengguna. Aplikasi ini bertindak sebagai dropper yang dapat menghindari pembatasan keamanan pada Android 13 dan versi terbaru.

Setelah berhasil dipasang, aplikasi langsung meminta akses ke layanan aksesibilitas. Setelah izin diberikan, malware segera menghubungi server perintah (C2) untuk menerima instruksi lebih lanjut, termasuk daftar aplikasi perbankan yang menjadi target dan HTML overlay palsu untuk mencuri kredensial.

Tidak hanya menyasar aplikasi perbankan, Crocodilus juga membidik dompet mata uang kripto. Alih-alih menggunakan halaman login palsu, malware menampilkan pesan peringatan yang meminta pengguna mencadangkan seed phrase mereka dalam waktu 12 jam agar tidak kehilangan akses. Ini hanyalah taktik rekayasa sosial yang cerdik: saat korban membuka seed phrase mereka, data tersebut diam-diam disedot melalui aksesibilitas.

Crocodilus terus berjalan di latar belakang, memantau aplikasi yang dibuka korban dan menampilkan overlay untuk mencuri informasi. Fitur-fitur utama yang dimiliki oleh malware ini antara lain:

Malware ini juga mampu menangkap isi layar, termasuk kode dari aplikasi Google Authenticator, sehingga meningkatkan potensi pencurian identitas dan data dua faktor autentikasi.

ThreatFabric menilai bahwa Crocodilus merupakan salah satu trojan mobile paling canggih yang pernah muncul di tahap awal. Kemampuan Device Takeover (DTO) yang kuat, pengendalian perangkat dari jarak jauh, serta penggunaan serangan overlay hitam menempatkannya sebagai ancaman serius dalam ekosistem Android.

Kemunculan Crocodilus juga berbarengan dengan peningkatan aktivitas malware lain seperti Grandoreiro, trojan perbankan yang menyasar pengguna Windows di Meksiko, Argentina, dan Spanyol melalui kampanye phishing bertema pajak. Hal ini menunjukkan bahwa ancaman terhadap keamanan finansial digital kini semakin meluas dan kompleks, baik di platform mobile maupun desktop.