Onderzoekers hebben Android-malware ontdekt die door middel van social engineering de seed phrase (wallet key) van cryptowallets probeert te stelen. Crocodilus, zoals de malware door securitybedrijf ThreatFabric wordt genoemd, is eigenlijk een banking Trojan die aanvallers toegang tot de bankrekening van slachtoffers geeft. De malware doet dit door middel van het plaatsen van overlayschermen boven de geopende bank-app.

In deze schermen wordt slachtoffers gevraagd om de gegevens van hun account. Daarnaast kan de malware OTP-codes onderscheppen en aanvallers remote toegang tot de telefoon geven, om daarvandaan met de verkregen gegevens bankfraude te plegen. Daarnaast probeert de malware toegang tot de cryptowallets van slachtoffers te krijgen. Zodra slachtoffers hun crypto-app starten plaatst de malware wederom een overlayvenster om de benodigde inloggegevens te stelen.

Zodra het slachtoffer deze gegevens invult verschijnt er een melding dat de gebruiker zijn wallet key (seed phrase) moet back-uppen, anders zou de app worden gereset en de gebruiker toegang tot zijn wallet verliezen. Via een seed phrase kan er toegang tot de cryptowallet worden verkregen. De Crocodilus-malware wordt voor zover bekend buiten de Google Play Store verspreid. Zodra slachtoffers een met de malware besmette app installeren vraagt Crocodilus om het inschakelen van en toegang tot de Accessibility Service, waarmee de malware in staat is om gegevens te stelen.