Malware trojan bernama Crocodilus yang menyerang perangkat Android kini meluncurkan kampanye baru dengan target utama pengguna cryptocurrency dan layanan perbankan. Setelah pertama kali terdeteksi pada Maret 2025 di Turki, malware ini menyebar dengan menyamar sebagai aplikasi kasino daring atau aplikasi bank palsu untuk mencuri kredensial pengguna.
Kini, Crocodilus telah meluas ke berbagai negara, termasuk Polandia, Spanyol, Argentina, Brasil, Indonesia, India, dan Amerika Serikat. Menurut laporan tim Mobile Threat Intelligence (MTI) dari ThreatFabric, serangan ini menunjukkan bahwa Crocodilus terus berkembang secara global, baik dari sisi cakupan wilayah maupun kecanggihan teknik serangannya.
Baca Juga Kasus Penipuan di MEXC Meledak 200% di Q1 2025, India dan Indonesia Jadi Target Utama
Gunakan Iklan Facebook dan Teknik Penipuan yang Canggih
Salah satu teknik yang digunakan oleh Crocodilus adalah memanfaatkan iklan palsu di Facebook. Contohnya di Polandia, iklan menampilkan aplikasi loyalitas palsu yang ternyata mengarahkan korban ke situs berbahaya. Situs ini kemudian mengunduh dropper (komponen awal malware) yang dirancang untuk menghindari pembatasan keamanan Android 13 ke atas.
Facebook mencatat bahwa iklan-iklan tersebut dapat menjangkau ribuan pengguna hanya dalam waktu satu hingga dua jam, dengan target khusus pengguna berusia di atas 35 tahun. Teknik ini menunjukkan betapa terkoordinasinya kampanye penyebaran malware ini.
Crocodilus Menyamar di Balik Aplikasi Legal
Setelah berhasil masuk ke perangkat, Crocodilus akan menampilkan halaman login palsu di atas aplikasi bank atau wallet kripto yang sah. Di Spanyol, misalnya, malware ini menyamar sebagai pembaruan browser, dan mampu menipu pengguna dari 35semua bank besar.
Selain menyamar, malware ini kini memiliki fitur-fitur baru, seperti kemampuan untuk mengubah daftar kontak pengguna. Penyerang dapat menambahkan nomor palsu yang diberi label “Bank Support,” yang bisa digunakan untuk melakukan penipuan berbasis rekayasa sosial.
Ancaman Serius bagi Wallet Kripto
Yang paling mengkhawatirkan, Crocodilus kini dilengkapi dengan alat otomatis pengumpul seed phrase, yang memungkinkan penyerang mencuri frasa pemulihan dan private key dari wallet kripto pengguna. Informasi ini memungkinkan pengambilalihan akun secara cepat dan otomatis.
Versi terbaru malware ini juga lebih sulit dianalisis oleh peneliti keamanan, karena telah dilindungi dengan enkripsi XOR, kode yang dikemas, dan struktur logika yang rumit untuk mencegah proses reverse engineering.
Selain menargetkan bank dan wallet kripto besar, Crocodilus juga menjalankan kampanye skala kecil terhadap aplikasi penambangan kripto dan bank digital di Eropa. Laporan ThreatFabric menyebutkan bahwa malware ini telah dilengkapi dengan parser tambahan untuk mengekstrak data sensitif dari jenis wallet tertentu secara lebih akurat.
Fenomena malware-as-a-service juga memperparah situasi. Dalam laporan terpisah dari AMLBot pada 22 April, terungkap bahwa malware jenis crypto drainer kini tersedia dalam bentuk layanan yang bisa disewa oleh penyerang dengan harga murah, yaitu sekitar 100–300 USDT. Malware ini dirancang khusus untuk mencuri aset kripto dari pengguna.
Yang lebih mengejutkan, pada 19 Mei lalu terungkap bahwa Procolored, produsen printer asal Tiongkok, secara tidak sengaja menyebarkan malware pencuri Bitcoin dalam driver resminya. Kasus ini menjadi peringatan bahwa bahkan perangkat lunak dari produsen terpercaya pun bisa menjadi sarana penyebaran malware.
