Android-троян Crocodilus вышел на глобальный уровень: под угрозой банковские данные и криптокошельки

Троян Crocodilus, впервые зафиксированный этой весной в Турции и Испании, стремительно расширяет географию атак. По данным компании ThreatFabric, вредонос уже выявлен в Польше, Аргентине, Бразилии, Индии, Индонезии и США, превращаясь из региональной угрозы в глобальный киберриск.

Изначально Crocodilus маскировался под легитимные приложения, такие как Google Chrome, и подменял интерфейсы банковских программ, перехватывая логины и пароли. Также он нацелен на криптокошельки, выкрадывая сид-фразы через функции доступности Android — этого достаточно, чтобы злоумышленники полностью завладели средствами.

Согласно последнему отчету ThreatFabric, троян стал еще опаснее:

• теперь он использует продвинутые методы сокрытия, затрудняющие анализ и выявление;
• умеет удаленно добавлять контакт в адресную книгу жертвы, используя кодовую команду «TRU9MMRHBCRO».

Это позволяет обходить защиту Android от подозрительных звонков во время работы банковских приложений. Так, добавленный контакт с названием «Поддержка банка» может использоваться для фишинговых звонков — пользователь не заподозрит подвоха.

Crocodilus активно распространяется через фейковые рекламные объявления в Facebook* — в Польше, например, вредонос распространялся под видом бонусов от банков и маркетплейсов, а в Испании и Турции — как обновление браузера или приложение казино.

Эксперты подчеркивают: Crocodilus уже нельзя считать локальной угрозой. Он демонстрирует высокую адаптивность, стремительно осваивает новые регионы и успешно обходит системы защиты.

* Facebook и корпорация Meta признаны экстремистскими и запрещены на территории РФ.