Volubit.id — Perusahaan keamanan siber Threat Fabric mengungkapkan adanya malware baru yang dapat meluncurkan overlay palsu pada aplikasi tertentu untuk menipu pengguna Android agar memberikan seed phrase wallet kripto mereka. Malware ini juga dapat mengambil kendali penuh ponsel pengguna.

Dalam laporan yang dirilis 28 Maret lalu, analis Threat Fabric menjelaskan, malware bernama Crocodilus ini menggunakan screen overlay untuk ‘pura-pura’ memperingatkan pengguna agar melakukan back up kunci wallet kripto mereka sebelum batas waktu tertentu. Jika tidak dilakukan, pengguna terancam kehilangan akses.

“Begitu korban memasukkan password, overlay akan menampilkan pesan: Back up kunci wallet Anda dalam setting, dalam waktu 12 jam. Jika tidak, aplikasi akan direset dan Anda mungkin kehilangan akses ke wallet Anda,” ungkap Threat Fabric.

A new mobile banking Trojan has emerged—#Crocodilus. Discovered during regular threat hunting, it’s already showing capabilities that rival top malware families, including device takeover and advanced credential theft.https://t.co/RlyfFxUYHe#BankingTrojan #ThreatFabric pic.twitter.com/47zPbPfFad

— ThreatFabric (@ThreatFabric) March 28, 2025

Menurut platform tersebut, trik penipuan rekayasa sosial atau social engineering ini memaksa korban untuk mengetik seed phrase wallet mereka. Saat itu, Crocodilus akan merekamnya.

Setelah mendapatkan seed phrase, pelaku dapat mengambil kendali penuh atas wallet kripto korban dan menguras isinya.

Threat Fabric menambahkan, meskipun malware baru, Crocodilus mempunyai semua fitur malware perbankan modern, termasuk serangan overlay dan pengumpulan data seperti password melalui tangkapan layar. Malware ini juga bisa mengambil akses jarak jauh.

Biasanya malware ini bisa menginfeksi ponsel saat pengguna tak sengaja mengunduhnya melalui software lain. Crocodilus bahkan disebut bisa menembus perlindungan keamanan Android 13.

Setelah terinstal, Crocodilus akan meminta agar layanan aksesibilitas diaktifkan sehingga bisa memberi peretas akses penuh ke ponsel korban.

“Setelah diizinkan, malware ini akan terhubung ke server command and control (C2) untuk menerima instruksi, termasuk ke daftar aplikasi target dan overlay yang akan digunakan,” jelas Threat Fabric.

Tim Mobile Threat Intelligence dari Threat Fabric menemukan, malware ini menargetkan pengguna di Turki dan Spanyol. Namun, mereka memperkirakan jangkauan serangannya akan semakin meluas.

Berdasarkan source code, pengembang malware ini diperkirakan berbicara dalam bahasa Turki.

“Dengan kemampuan pengambilalihan perangkat yang canggih, fitur kendali jarak jauh, dan penerapan serangan overlay sejak awalnya, Crocodilus menunjukkan tingkat kematangan (serangan) yang jarang ditemukan,” ojar Threat Fabric.