Дослідники з Threat Fabric виявили нову групу шкідливих програм, спрямованих на мобільні пристрої Android. Цей троян спеціально націлений на певні банківські додатки та широко використовувані криптогаманці.
З’явився новий мобільний банківський троян — #Crocodilus. Виявлене під час звичайного пошуку загроз, воно вже демонструє можливості, які конкурують з провідними сімействами зловмисного програмного забезпечення, включаючи захоплення пристроїв і складну крадіжку облікових даних. https://t.co/RlyfFxUYHe #BankingTrojan #ThreatFabric pic.twitter.com/47zPbPfFad
— ThreatFabric (@ThreatFabric) 28 березня 2025 р.
Шкідливе програмне забезпечення, відоме як Crocodilus, може виконувати атаки накладення , брати участь у клавіатурних журналах , надавати віддалений доступ до пристрою та виконувати «приховані» операції.
Спочатку вірус встановлюється через дроппер, який обходить обмеження Android 13 і новіших версій. Після розгортання програма запитує активацію служби доступності та, отримавши згоду, підключається до свого керуючого сервера.
Crocodilus працює безперервно, стежачи за запуском цільових додатків і надаючи накладення для збору облікових даних. Коли користувач вводить пароль або PIN-код свого криптогаманця, він отримує підказку створити резервну копію свого закритого ключа. Ця інформація дозволяє зловмисникам отримати повний контроль над додатком і вивести всі кошти.
Джерело: Threat Fabric.
Crocodilus реєструє всі дії жертви, включаючи будь-які зміни тексту на екрані, функціонуючи як кейлоггер. Крім того, троян захоплює екран Google Authenticator, пересилаючи коди OTP зловмисникам.
«Використовуючи викрадену особисту та облікову інформацію, зловмисники можуть отримати повний контроль над пристроєм жертви через вбудований віддалений доступ, дозволяючи їм виконувати шахрайські транзакції, не будучи виявленими», — зауважили експерти з Threat Fabric.
Crocodilus також може відображати чорний екран і вимикати звук під час роботи програм, роблячи дії шахраїв на пристрої непомітними для користувача.
Експерти відзначили, що троян навіть у своїх ранніх ітераціях демонструє «рівень складності, незвичайний для нещодавно виявлених загроз».
«Крокодил, який вже був помічений під час атак на банки в Іспанії та Туреччині, а також на популярні криптовалютні гаманці, очевидно, призначений для націлювання на активи високої вартості», — заявили вони далі.
Варто зазначити, що нещодавно експерти випустили попередження щодо зламаного програмного забезпечення TradingView Premium.
