04/06/25
Банковский троян Crocodilus, впервые зафиксированный в марте 2025 года , стремительно выходит за пределы первоначальных мишеней и распространяется по Европе и Южной Америке. По данным отчёта компании ThreatFabri , вредоносное ПО стало технически сложнее, получило новые функции и активно используется в масштабных кампаниях, направленных на пользователей Android.
Изначально Crocodilus маскировался под приложения вроде Google Chrome и атаковал жителей Турции и Испании, используя накладные окна для кражи данных входа в банковские приложения, поясняет Securitylab. Однако теперь география вредоноса значительно расширилась: зафиксированы целевые атаки в Польше, Аргентине, Бразилии, Индии, Индонезии и США. При этом атаки в Турции и Испании продолжаются, но получили новые сценарии: в одном случае вредонос распространяется под видом обновления браузера, в другом — под видом онлайн-казино.
Особо выделяются кампании в Польше: здесь злоумышленники размещают поддельные объявления в социальной сети Facebook*, маскируясь под банки и известные интернет-магазины. Обманутых пользователей перенаправляют на вредоносный сайт, где им предлагают скачать приложение для получения бонусов. Фактически же загружается дроппер Crocodilus.
Одна из новых функций трояна — возможность добавления фальшивого контакта в адресную книгу заражённого устройства по команде «TRU9MMRHBCRO». Исследователи предполагают, что этот механизм нужен для обхода новой защиты Android, предупреждающей о возможном мошенничестве при запуске банковских приложений в режиме совместного экрана. Добавленный контакт с именем по типу «Поддержка банка» позволяет злоумышленникам звонить жертве и казаться легитимной службой, обходя при этом системы антифрода , которые распознают неизвестные номера.
Также в свежих версиях Crocodilus появилась функция автоматического сбора seed-фраз и приватных ключей от криптовалютных кошельков. Это реализовано через специальный парсер, способный извлекать такие данные из интерфейсов популярных кошельков, используя права на доступ к службам доступности Android. После захвата информации злоумышленники получают прямой доступ к криптоактивам жертвы.
Кроме того, вредонос теперь применяет усовершенствованные методы обфускации, что затрудняет его анализ и обнаружение антивирусными решениями. Всё это говорит о том, что Crocodilus не только активно поддерживается, но и быстро развивается, становясь всё более опасным. По мнению специалистов ThreatFabric, перед пользователями стоит уже не региональная, а мировая угроза.
* Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.
