Egy nemrég felfedezett rosszindulatú program, a Crocodilus, arra készteti az Android felhasználókat, hogy adják meg a kriptotárcájukhoz tartozó seed phrase-t (a kriptotárca biztonsági helyreállító kulcsát). A Crocodilus képes teljes hozzáférést szerezni az eszközhöz, átvenni az irányítását, valamint megszerezni a felhasználók érzékeny adatait is.
A támadók először egy rejtett telepítőprogramot (dropper-t) juttatnak el az áldozat eszközére, és ez a program telepíti a valódi kártevőt (malware-t) a háttérben. Amikor az áldozat megnyit egy célzott banki- vagy kriptovaluta alkalmazást, a Crocodilus egy hamis felületet tölt be az eredeti alkalmazás fölé, annak érdekében, hogy megszerezze a felhasználó bejelentkezési adatait. A Crocodilus social engineering technikával veszi rá a felhasználókat, hogy saját maguk adják meg a hozzáférést a kriptotárcájukhoz tartozó seed phrase-hez. Gyakorlatilag a képernyőn egy hamis felületet jelenít meg (lásd: 1. ábra), amelyben arra figyelmezteti a felhasználókat, hogy „A Beállítások menüpontban 12 órán belül készítsen biztonsági másolatot a kulcsról, különben elveszítheti a hozzáférést a kriptotárcájához”.

Ezután az áldozat saját maga nyitja meg a tárcája seed kifejezését (wallet key), amit a Crocodilus az Accessibility Logger segítségével kigyűjt. A megszerzett információval a támadók teljes hozzáférést szerezhetnek a tárcához, melyet végül teljesen ki is üríthetnek. A Crocodilus elindításakor a program hozzáférést kér az Accessibility Service-hez (lásd:2. ábra). Ezzel képes elérni a megjelenített tartalmakat, navigációs műveleteket végrehajtani, valamint figyelni az alkalmazásindításokat.

A malware összesen 23 különböző parancs végrehajtására képes, mint például:
- Hívásátirányítás bekapcsolása
- Megadott alkalmazás elindítása
- Push értesítés küldése
- SMS küldése az összes kontakt számára, vagy csak egy adott személy számára
- SMS-ek lekérdezése
- Eszközadminisztrátori jogosultság kérése
- Fekete képernyő aktiválása
- Hang ki- és bekapcsolása
- Képernyő zárolása
- Alapértelmezett SMS-kezelővé válás
Emellett RAT (remote access trojan) funkcióval is rendelkezik, amely lehetővé teszi az eszközhöz való távoli hozzáférést. A kártevő egyik RAT parancsa képes a Google Authenticator alkalmazásról képernyőképeket készíteni, így a támadók hozzáférhetnek a kétfaktoros hitelesítés során használt egyszer használatos kódokhoz is. A támadás közben az áldozat csak a fekete képernyőt látja, mellyel azt a látszatot keltik, hogy az eszköze zárolva van.
A fertőzés elkerülése érdekében a felhasználóknak javasolt kizárólag hivatalos alkalmazásboltból telepíteni az alkalmazásokat, és figyelmesen ellenőrizni az alkalmazások által kért engedélyeket. A Play Protect bekapcsolása további védelmet nyújthat az ilyen típusú fenyegetésekkel szemben.