Android-Trojaner Crocodilus stiehlt weltweit Bankdaten und Krypto-Wallets : Bank- und Krypto-Daten im Visier: Crocodilus verbreitet sich global über gefälschte Apps und Werbung.

Ein heimtückischer Android-Trojaner namens Crocodilus verbreitet sich derzeit rasant über mehrere Kontinente. Was als regionale Kampagne in Spanien und der Türkei begann, ist nun zu einer globalen Bedrohung geworden. Wie das niederländische Cybersicherheitsunternehmen ThreatFabric in einem aktuellen Bericht warnt, nutzen Cyberkriminelle den Trojaner inzwischen in mindestens acht Ländern – darunter auch Polen, Brasilien, Indien und die Vereinigten Staaten.

Täuschend echte Tarnung – Angriffe über gefälschte Apps und Werbung

Crocodilus tarnt sich als populäre Anwendungen wie Google Chrome oder Online-Banking-Apps. Auch Fake-Anzeigen auf Facebook, die sich als Angebote bekannter Banken oder Shops ausgeben, gehören zum Arsenal der Täter. Wer auf die vermeintlichen Bonuspunkte klickt, landet auf einer infizierten Seite, welche die Schadsoftware unbemerkt auf das Android-Gerät lädt.

Besonders perfide: In Spanien und der Türkei versteckte sich der Trojaner zuletzt hinter angeblichen Browser-Updates oder einer vermeintlichen App eines Online-Casinos. Damit treffen die Angreifer gezielt auf ein breites Publikum – von alltäglichen Internetnutzern bis zu risikofreudigen Spielern.

Angriff auf Banking-Apps und Kryptowährungen

Im Zentrum der Angriffe steht der Diebstahl sensibler Finanzdaten. Crocodilus ist in der Lage, sogenannte Overlay-Attacken auszuführen: Sobald der Nutzer eine Banking-App öffnet, schiebt sich ein gefälschtes Eingabefeld über die Original-App. Gibt der Nutzer dort seine Zugangsdaten ein, landen sie direkt bei den Tätern.

Besonders alarmierend ist die Fähigkeit des Trojaners, über die Zugriffsrechte auf Barrierefreiheitsdienste auch sogenannte Seed Phrases auszulesen – die sensiblen Wiederherstellungscodes für Kryptowallets. Damit können Kriminelle Kryptowährungen direkt übernehmen und auf fremde Wallets transferieren.

Neue Tarnmechanismen und Social-Engineering-Tricks

Die jüngsten Versionen von Crocodilus sind technisch deutlich weiterentwickelt: Eine Vielzahl von Verschleierungstechniken erschwert die Analyse des Codes. Neu ist zudem eine Funktion, bei der der Trojaner über einen bestimmten Befehl – etwa „TRU9MMRHBCRO“ – automatisch einen neuen Kontakt im Adressbuch des Opfers anlegt.

Der Trick dahinter: Die Angreifer legen Kontakte mit täuschend echten Namen wie „Bank Support“ an, um später telefonisch Kontakt aufzunehmen. So wirken sie bei Rückfragen glaubwürdig – und umgehen Googles neue Sicherheitsmechanismen, die Nutzer beim Bildschirmteilen mit unbekannten Kontakten warnen.

Vom regionalen Risiko zur globalen Bedrohung

Die Entwicklung von Crocodilus zeigt exemplarisch, wie sich Cyberbedrohungen dynamisch und professionell weiterentwickeln. Was als lokales Phänomen begann, hat sich zu einer international koordinierten Malware-Kampagne ausgeweitet. Der Trojaner wird aktiv gepflegt, stetig verbessert und offenbar durch ein professionell organisiertes Täternetzwerk betrieben.

Die Sicherheitsforscher von ThreatFabric ziehen ein eindeutiges Fazit: „Crocodilus markiert einen neuen Level der Bedrohung durch Android-Banking-Trojaner. Seine technischen Möglichkeiten und die globale Verbreitung machen ihn zu einem ernstzunehmenden Risiko für Millionen von Nutzern weltweit.“

Was Nutzer jetzt beachten sollten

• Keine Apps außerhalb offizieller Stores herunterladen – auch nicht über Links in Anzeigen.
• Zugriffsrechte prüfen: Besonders kritisch sind Rechte auf Barrierefreiheitsdienste.
• Warnhinweise ernst nehmen, insbesondere bei Bildschirmfreigaben oder Kontakten mit angeblichen Bankmitarbeitern.
• Sicherheitsupdates regelmäßig installieren und verdächtige Apps sofort deinstallieren.

Crocodilus ist kein Einzelfall, sondern ein Vorbote für eine neue Welle komplexer Android-Schadsoftware. Die Verbindung aus technischer Raffinesse, Social Engineering und globaler Ausbreitung macht diesen Trojaner zu einer der gefährlichsten Bedrohungen im mobilen Raum.