Специалисты Threat Fabric обнаружили новое семейство вредоносного ПО для мобильных устройств на Android. Троян нацелен на определенные банковские приложения и популярные криптокошельки.
A new mobile banking Trojan has emerged—#Crocodilus. Discovered during regular threat hunting, it’s already showing capabilities that rival top malware families, including device takeover and advanced credential theft.https://t.co/RlyfFxUYHe#BankingTrojan #ThreatFabric pic.twitter.com/47zPbPfFad— ThreatFabric (@ThreatFabric) March 28, 2025
Вредонос под названием Crocodilus обладает возможностями проводить атаки с оверлеем, осуществлять кейлоггерство, обеспечивать удаленный доступ к устройству и «скрытые» операции.
Изначально вирус устанавливается через дроппер, обходящий ограничения ОС Android 13 и новее. После развертывания ПО запрашивает включение Accessibility Service, и, получив разрешение, подключается к серверу управления.
Crocodilus работает непрерывно, отслеживая запуски целевых приложений и отображает оверлеи для перехвата учетных данных. Как только пользователь вводит пароль или PIN-код криптокошелька, он получает предупреждение о необходимости создать резервную копию приватного ключа. Используя эту информацию, злоумышленники могут получить полный контроль над приложением и вывести все средства.
Данные: Threat Fabric.
Crocodilus регистрирует все выполняемые жертвой действия по изменениям текста на экране, работая как кейлоггер. Но троян в дополнение захватывает экран Google Authenticator, передавая злоумышленникам OTP-коды.
«Используя украденные персональные и учетные данные, злоумышленники могут получить полный контроль над устройством жертвы, используя встроенный удаленный доступ, совершая мошеннические транзакции без обнаружения», — отметили эксперты Threat Fabric.
Crocodilus может отображать черный экран и отключать звук при работе приложений, чтобы сделать действия мошенников на устройстве незаметными для пользователя.
Специалисты подчеркнули, что троян даже в своих ранних версиях демонстрирует «уровень зрелости, нетипичный для недавно обнаруженных угроз».
«Crocodilus, уже замеченный в атаках на банки в Испании и Турции, а также популярные криптовалютные кошельки, явно создан для охоты за дорогостоящими активами», — добавили они.
Напомним, о наиболее важных новостях из мира кибербезопасности за неделю ForkLog рассказал в традиционном дайджесте.
