O cenário de fraudes digitais no Brasil apresenta números que chamam atenção. No primeiro trimestre de 2025, os dados da Serasa Experian revelam mais de um milhão de tentativas de fraude por mês – o equivalente a uma nova investida a cada 2,2 segundos. Esse volume intenso, que contribuiu para perdas de R$ 10,1 bilhões em 2024, reflete uma sofisticação crescente por parte dos adversários cibernéticos. Nesse contexto emerge o Crocodilus, um trojan bancário que redefine as regras do jogo.
Diferente dos malwares tradicionais que roubam credenciais para uso posterior, ele sequestra sessões bancárias e executa transações fraudulentas em tempo real, enquanto o usuário legítimo permanece logado e, na maioria das vezes, inconsciente do ataque.
Essa capacidade de Device Takeover (DTO) representa uma evolução técnica significativa que expõe limitações dos modelos de segurança baseados em perímetro. A sofisticação do Crocodilus, que combina engenharia social, abuso de funcionalidades do sistema operacional e canais de comunicação furtivos, torna firewalls e antivírus tradicionais insuficientes.
Neste artigo, vamos analisar a anatomia técnica do Crocodilus, entender por que o Brasil se consolidou como laboratório global para essas ameaças e apresentar as estratégias de defesa necessárias para neutralizar este tipo de ameaça.
Crocodilus vs. Trojans Tradicionais: Por que esta ameaça exige uma nova abordagem de defesa
Nos últimos anos, os malwares bancários seguiram um padrão previsível de atuação, com foco em captura de credenciais para uso posterior. No entanto, o Crocodilus marca uma ruptura nesse modelo ao operar em tempo real e durante sessões legítimas, elevando a complexidade e a urgência da resposta de segurança.
A tabela a seguir compara os trojans bancários tradicionais com o Crocodilus 4.0 e destaca os impactos diretos para a estratégia de defesa das organizações.
O ecossistema do “Cangaço Digital”: Por que o Brasil é o laboratório global de trojans bancários
O surgimento de uma ameaça como o Crocodilus no Brasil não é um acaso. O país consolidou-se como um epicentro global para o desenvolvimento e a disseminação de malwares financeiros.
De acordo com um relatório da Kaspersky, a América Latina registrou um crescimento de 70% nos ataques a dispositivos móveis entre agosto de 2023 e julho de 2024, com o Brasil liderando de forma isolada, somando 1,8 milhão de bloqueios de ataques nesse período.
Mais do que um alvo, o Brasil é um polo de inovação para o cibercrime: estima-se que 13 das 18 famílias mais frequentes de trojans bancários em atividade tenham origem brasileira. Este cenário é alimentado por um volume de ataques incessante.
Dados da Serasa Experian do primeiro trimestre de 2025 revelam mais de um milhão de tentativas de fraude por mês, o que equivale a uma nova tentativa a cada 2,2 segundos. O setor de “Bancos e Cartões” é o alvo preferencial, concentrando 54% de todas as investidas.
A rápida digitalização dos serviços financeiros, impulsionada por tecnologias como o Pix, criou uma superfície de ataque vasta e extremamente lucrativa, atraindo organizações criminosas que migraram suas operações para o ambiente virtual.
Este fenômeno foi apropriadamente classificado como “cangaço digital” pelo diretor-geral da Polícia Federal, Andrei Passos Rodrigues, elevando a fraude de um problema puramente técnico para uma questão de segurança pública e estabilidade econômica.
Consequentemente, a pressão regulatória sobre as instituições financeiras aumenta, com órgãos como o Banco Central do Brasil (BACEN) exigindo controles mais rígidos e uma capacidade de resposta a incidentes cada vez mais ágil e eficaz.
Operar neste ambiente exige mais do que tecnologia; exige uma profunda compreensão das táticas, técnicas e procedimentos (TTPs) locais, que estão na vanguarda das ameaças globais.
Anatomia de um Predador: A engenharia técnica do Crocodilus
O Crocodilus opera com uma precisão cirúrgica, combinando múltiplos vetores de entrada com técnicas avançadas para tomar o controle do dispositivo e evadir a detecção.
Sua cadeia de infecção é multivetorial. Em campanhas observadas na Europa, os operadores utilizaram anúncios maliciosos no Facebook, prometendo bônus e promoções para induzir as vítimas a baixar um aplicativo falso.
O malware também se disfarça de aplicativos populares, como o Google Chrome, ou de atualizações de sistema para enganar o usuário.5
Um dos vetores mais insidiosos, e de grande relevância para o ambiente corporativo, envolve o uso de engenharia social por e-mail. O ataque se inicia com uma mensagem de phishing, frequentemente disfarçada de um boleto ou fatura pendente.
Anexado ao e-mail, há um arquivo PDF malicioso. Ao ser aberto, este documento executa um código que, por sua vez, injeta um script JavaScript no navegador ou diretamente no sistema da vítima. Esse script é o ponto de partida para baixar o payload principal do Crocodilus e iniciar a fase de tomada de controle.
Uma vez instalado, o malware foca em obter a permissão para utilizar os Serviços de Acessibilidade do Android. Esta é a sua “chave mestra”.
Com essa permissão, o Crocodilus ganha a capacidade de:
- Monitorar a tela em tempo real, lendo todas as informações exibidas, incluindo saldos, dados pessoais e códigos de autenticação de dois fatores (OTP) de aplicativos como o Google Authenticator.
- Registrar toques e gestos, funcionando como um keylogger avançado que captura senhas, PINs e frases de recuperação de carteiras de criptomoedas.
- Executar ações de forma autônoma, como clicar em botões, preencher campos de transferência e confirmar transações, tudo sem a interação do usuário.
Para roubar credenciais de forma eficaz, o Crocodilus emprega overlay attacks avançados, sobrepondo telas de login falsas, porém idênticas às originais, sobre os aplicativos bancários legítimos. Para garantir que suas atividades fraudulentas não sejam percebidas, ele pode ativar um modo stealth, exibindo uma tela preta e silenciando o dispositivo enquanto drena a conta da vítima.
A comunicação com seus servidores de Comando e Controle (C2) é outro ponto de sofisticação. O malware estabelece canais WebSocket cifrados, uma tecnologia que cria uma conexão persistente e bidirecional.
Diferente do tráfego HTTP/S convencional, o tráfego WebSocket é mais difícil de ser inspecionado por firewalls e gateways de segurança, garantindo aos atacantes um canal de comunicação estável e furtivo para enviar comandos e exfiltrar dados.
Para completar, o código do Crocodilus é protegido por múltiplas camadas de evasão, incluindo empacotamento, criptografia XOR e um design “emaranhado” que visa frustrar tentativas de engenharia reversa por parte de analistas de segurança.
Aprofundando o ataque: o que torna o Crocodilus tão difícil de detectar
A evolução do Crocodilus não está apenas na superfície do sistema, ela se estende às camadas mais profundas, onde as ferramentas de segurança tradicionais têm pouca visibilidade. Sua arquitetura modular e uso de técnicas como criptografia XOR, empacotamento e execução em código nativo dificultam não apenas a detecção, mas também a análise forense pós-incidente.
Além disso, a adoção de canais C2 baseados em WebSocket e a camuflagem por trás de permissões legítimas, como os Serviços de Acessibilidade, criam um cenário ideal para fraudes silenciosas e altamente eficazes.
A seguir, visualizamos as camadas técnicas de evasão e persistência empregadas pelo Crocodilus — um verdadeiro “malware em profundidade”.
A defesa proativa da Asper: Integrando detecção, simulação e resposta orquestrada
Enfrentar uma ameaça com a complexidade do Crocodilus exige mais do que uma única ferramenta; demanda uma estratégia de segurança em camadas, onde tecnologia de ponta e expertise humana atuam em perfeita sinergia.
A abordagem da Asper, guiada pelo lema “Keeping Digital Safe”, materializa-se através da orquestração de soluções líderes pelo seu Cyber Fusion Center (CFC), atuando como um verdadeiro Trust Advisor para seus clientes.
Detecção e resposta em tempo real com CrowdStrike Falcon Complete
O Crocodilus age diretamente no endpoint, manipulando processos legítimos para executar suas ações. Portanto, a primeira linha de defesa tecnológica deve ter visibilidade e controle profundos nesse nível.
A solução CrowdStrike Falcon Complete, operada pelo CFC da Asper, neutraliza as táticas do Crocodilus de forma direta:
- Detecção Comportamental (EDR/XDR): Em vez de depender de assinaturas de vírus, que são facilmente contornadas pelo código ofuscado do Crocodilus, o Falcon monitora o comportamento dos processos.
Ele é capaz de identificar atividades anômalas, como a injeção de JavaScript em um navegador ou o abuso das permissões de acessibilidade, que são precisamente as técnicas do malware. - Isolamento Automatizado: A capacidade de fraude em tempo real do Crocodilus é seu maior trunfo. A resposta da Asper é igualmente rápida.
O Falcon pode isolar um dispositivo comprometido da rede em menos de 10 minutos, interrompendo a comunicação do malware com seu servidor C2 e bloqueando a transação fraudulenta em andamento. - Threat Hunting Proativo: Após a contenção inicial, a equipe do CFC utiliza a plataforma Falcon para caçar proativamente os Indicadores de Compromisso (IoCs) do Crocodilus em todos os outros endpoints da organização, garantindo que a ameaça seja completamente erradicada e não possa se mover lateralmente.
Validando defesas e fortalecendo pessoas com Cymulate
O vetor de entrada mais eficaz do Crocodilus é a exploração do fator humano através de engenharia social.
A plataforma de Simulação de Violações e Ataques (BAS) da Cymulate permite que as organizações fortaleçam essa primeira linha de defesa:
- Validação Contínua de Controles: O Cymulate permite testar de forma segura e automatizada se os controles de segurança existentes (como gateways de e-mail e filtros web) seriam capazes de bloquear os vetores de ataque do Crocodilus antes que eles cheguem ao usuário.
- Treinamento de Phishing Simulado: A plataforma pode criar e enviar campanhas de phishing que imitam com precisão os e-mails de boletos falsos usados pelos cibercriminosos. Ao medir as taxas de cliques e treinar os colaboradores — especialmente as equipes financeiras, de tesouraria e contabilidade, que são os alvos prioritários do Crocodilus — as organizações reduzem drasticamente o risco de comprometimento inicial.
O Cyber Fusion Center: A inteligência humana que conecta os pontos
A tecnologia, por si só, não é suficiente. O grande diferencial da Asper reside no Cyber Fusion Center (CFC), o cérebro que orquestra as ferramentas e adiciona uma camada insubstituível de inteligência humana e local.
O CFC não apenas monitora alertas; ele:
- Correlaciona Inteligência: Conecta os pontos entre um alerta de comportamento suspeito do CrowdStrike, uma vulnerabilidade apontada por uma simulação do Cymulate e a inteligência de ameaças sobre o cenário brasileiro.
- Contextualiza a Ameaça: Entende as nuances do “cangaço digital”, adaptando a resposta às TTPs específicas usadas contra empresas no Brasil.
- Garante Resposta Eficaz: Em um momento de crise, a comunicação é crucial. O CFC da Asper oferece resposta em português e profundo conhecimento das exigências regulatórias do BACEN, garantindo que o incidente seja gerenciado com a máxima eficiência técnica e estratégica.
O futuro da ameaça: A chegada da variante “Pragma” e a preparação para o amanhã
O cenário de ameaças é dinâmico, e o Crocodilus já está evoluindo. Pesquisadores da Zimperium identificaram uma nova variante, apelidada de “Pragma”, que representa um avanço significativo em técnicas de evasão.
Esta variante se destaca pelo uso de código nativo para carregar e executar seu payload malicioso. Em termos práticos, isso significa que a lógica do ataque é escondida em uma camada mais profunda do sistema, dificultando a detecção por ferramentas de segurança que analisam apenas o código de aplicativos Android (Java/Kotlin).
Essa evolução aponta para tendências claras:
- Expansão de Alvos: O Crocodilus já foi observado em campanhas na Argentina, Espanha, Estados Unidos, Índia e Indonésia. Sua arquitetura modular facilita a adaptação para atacar não apenas bancos, mas também
plataformas de criptomoedas, exchanges e sistemas de gestão de identidade. - Inteligência Artificial no Ataque: A próxima fronteira para malwares como este é a integração com IA generativa. É plausível que futuras versões utilizem IA para criar e-mails de phishing hiper-realistas e personalizados em massa ou para adaptar suas táticas de ataque em tempo real com base nas defesas encontradas.
Diante disso, a preparação exige uma postura de vigilância contínua. As organizações devem implementar não apenas controles técnicos robustos, como EDR para dispositivos móveis e análise de tráfego de rede, mas também fortalecer seus processos internos.
A implementação de protocolos de dupla verificação para transações financeiras de alto valor e o treinamento contínuo e direcionado das equipes financeiras são medidas preventivas essenciais que reduzem a superfície de ataque humano.
A urgência da maturidade em cibersegurança
O Crocodilus é mais do que uma nova família de malware; é um sintoma claro da transformação do crime financeiro e um chamado à ação para as organizações no Brasil.
As perdas de R$ 10,1 bilhões em 2024 não são apenas um número, mas a prova tangível de que as abordagens de segurança do passado são insuficientes para as ameaças do presente.
A sofisticação de ataques como este exige uma mudança fundamental de paradigma: da proteção passiva de perímetro para a detecção comportamental ativa no endpoint; da resposta manual e reativa para a automação inteligente e orquestrada; e do foco em tecnologia isolada para uma estratégia integrada que une ferramentas, processos e pessoas.
Neste cenário de alta complexidade, a verdadeira resiliência não reside na promessa de uma defesa impenetrável, mas na capacidade de antecipar, detectar e neutralizar ameaças com velocidade e precisão.
A abordagem da Asper, que combina a inteligência global de plataformas como CrowdStrike Falcon Complete e Cymulate com a expertise local e a orquestração do Cyber Fusion Center, oferece às empresas a maturidade de segurança necessária para operar com confiança.
O Crocodilus é a ameaça de hoje. Sua organização está preparada para a de amanhã?
