4 de julho de 2025

O cenário de fraudes digitais no Brasil apresenta números que chamam atenção. No primeiro trimestre de 2025, os dados da Serasa Experian revelam mais de um milhão de tentativas de fraude por mês – o equivalente a uma nova investida a cada 2,2 segundos. Esse volume intenso, que contribuiu para perdas de R$ 10,1 bilhões em 2024, reflete uma sofisticação crescente por parte dos adversários cibernéticos. Nesse contexto emerge o Crocodilus, um trojan bancário que redefine as regras do jogo. Diferente dos malwares tradicionais que roubam credenciais para uso posterior, ele sequestra sessões bancárias e executa transações fraudulentas em tempo real, enquanto o usuário legítimo permanece logado e, na maioria das vezes, inconsciente do ataque. Essa capacidade de Device Takeover (DTO) representa uma evolução técnica significativa que expõe limitações dos modelos de segurança baseados em perímetro. A sofisticação do Crocodilus, que combina engenharia social, abuso de funcionalidades do sistema operacional e canais de comunicação furtivos, torna firewalls e antivírus tradicionais insuficientes.  Neste artigo, vamos analisar a anatomia técnica do Crocodilus, entender por que o Brasil se consolidou como laboratório global para essas ameaças e apresentar as estratégias de defesa necessárias para neutralizar este tipo de ameaça. Crocodilus vs. Trojans Tradicionais: Por que esta ameaça exige uma nova abordagem de defesa Nos últimos anos, os malwares bancários seguiram um padrão previsível de atuação, com foco em captura de credenciais para uso posterior. No entanto, o Crocodilus marca uma ruptura nesse modelo ao operar em tempo real e durante sessões legítimas, elevando a complexidade e a urgência da resposta de segurança.   A tabela a seguir compara os trojans bancários tradicionais com o Crocodilus 4.0 e destaca os impactos diretos para a estratégia de defesa das organizações. O ecossistema do “Cangaço Digital”: Por que o Brasil é o laboratório global de trojans bancários O surgimento de uma ameaça como o Crocodilus no Brasil não é um acaso. O país consolidou-se como um epicentro global para o desenvolvimento e a disseminação de malwares financeiros.  De acordo com um relatório da Kaspersky, a América Latina registrou um crescimento de 70% nos ataques a dispositivos móveis entre agosto de 2023 e julho de 2024, com o Brasil liderando de forma isolada, somando 1,8 milhão de bloqueios de ataques nesse período.  Mais do que um alvo, o Brasil é um polo de inovação para o cibercrime: estima-se que 13 das 18 famílias mais frequentes de trojans bancários em atividade tenham origem brasileira. Este cenário é alimentado por um volume de ataques incessante. Dados da Serasa Experian do primeiro trimestre de 2025 revelam mais de um milhão de tentativas de fraude por mês, o que equivale a uma nova tentativa a cada 2,2 segundos. O setor de “Bancos e Cartões” é o alvo preferencial, concentrando 54% de todas as investidas.  A rápida digitalização dos serviços financeiros, impulsionada por tecnologias como o Pix, criou uma superfície de ataque vasta e extremamente lucrativa, atraindo organizações criminosas que migraram suas operações para o ambiente virtual. Este fenômeno foi apropriadamente classificado como “cangaço digital” pelo diretor-geral da Polícia Federal, Andrei Passos Rodrigues, elevando a fraude de um problema puramente técnico para uma questão de segurança pública e estabilidade econômica.  Consequentemente, a pressão regulatória sobre as instituições financeiras aumenta, com órgãos como o Banco Central do Brasil (BACEN) exigindo controles mais rígidos e uma capacidade de resposta a incidentes cada vez mais ágil e eficaz. Operar neste ambiente exige mais do que tecnologia; exige uma profunda compreensão das táticas, técnicas e procedimentos (TTPs) locais, que estão na vanguarda das ameaças globais. Anatomia de um Predador: A engenharia técnica do Crocodilus O Crocodilus opera com uma precisão cirúrgica, combinando múltiplos vetores de entrada com técnicas avançadas para tomar o controle do dispositivo e evadir a detecção. Sua cadeia de infecção é multivetorial. Em campanhas observadas na Europa, os operadores utilizaram anúncios maliciosos no Facebook, prometendo bônus e promoções para induzir as vítimas a baixar um aplicativo falso. O malware também se disfarça de aplicativos populares, como o Google Chrome, ou de atualizações de sistema para enganar o usuário.5 Um dos vetores mais insidiosos, e de grande relevância para o ambiente corporativo, envolve o uso de engenharia social por e-mail. O ataque se inicia com uma mensagem de phishing, frequentemente disfarçada de um boleto ou fatura pendente. Anexado ao e-mail, há um arquivo PDF malicioso. Ao ser aberto, este documento executa um código que, por sua vez, injeta um script JavaScript no navegador ou diretamente no sistema da vítima. Esse script é o ponto de partida para baixar o payload principal do Crocodilus e iniciar a fase de tomada de controle. Uma vez instalado, o malware foca em obter a permissão para utilizar os Serviços de Acessibilidade do Android. Esta é a sua “chave mestra”.  Com essa permissão, o Crocodilus ganha a capacidade de: Para roubar credenciais de forma eficaz, o Crocodilus emprega overlay attacks avançados, sobrepondo telas de login falsas, porém idênticas às originais, sobre os aplicativos bancários legítimos. Para garantir que suas atividades fraudulentas não sejam percebidas, ele pode ativar um modo stealth, exibindo uma tela preta e silenciando o dispositivo enquanto drena a conta da vítima. A comunicação com seus servidores de Comando e Controle (C2) é outro ponto de sofisticação. O malware estabelece canais WebSocket cifrados, uma tecnologia que cria uma conexão persistente e bidirecional.  Diferente do tráfego HTTP/S convencional, o tráfego WebSocket é mais difícil de ser inspecionado por firewalls e gateways de segurança, garantindo aos atacantes um canal de comunicação estável e furtivo para enviar comandos e exfiltrar dados. Para completar, o código do Crocodilus é protegido por múltiplas camadas de evasão, incluindo empacotamento, criptografia XOR e um design “emaranhado” que visa frustrar tentativas de engenharia reversa por parte de analistas de segurança. Aprofundando o ataque: o que torna o Crocodilus tão difícil de detectar A evolução do Crocodilus não está apenas na superfície do sistema, ela se estende às camadas mais profundas, onde as ferramentas de segurança tradicionais têm pouca visibilidade. Sua arquitetura modular e uso de