В марте 2025 года команда ThreatFabric Mobile Threat Intelligence обнаружила новый банковский троян для Android под названием Crocodilus, способный полностью захватывать контроль над устройством. Первые образцы были связаны с тестовыми кампаниями, но уже тогда эксперты зафиксировали отдельные случаи реальных атак. С тех пор угроза активно развивается, расширяя географию атак и внедряя новые функции.
Описание
Глобальные кампании и социальные сети как канал распространения
Изначально Crocodilus в основном атаковал пользователей в Турции, но последние данные показывают, что злоумышленники расширили список целей, включив в него страны Европы и Южной Америки. Особое внимание привлекла кампания в Польше, где троян распространялся через рекламу в Facebook*. Мошенники имитировали приложения банков и платформ электронной коммерции, предлагая пользователям скачать программу для получения бонусных баллов.
Рекламные объявления действовали всего 1–2 часа, но каждое из них показывалось более тысячи раз. Основной аудиторией стали люди старше 35 лет, что говорит о нацеленности на платежеспособных жертв. При нажатии на кнопку "Скачать" пользователи перенаправлялись на вредоносный сайт, загружающий дроппер Crocodilus, способный обходить ограничения Android 13+.
Турецкие корни и новые рынки
Несмотря на глобализацию, Crocodilus продолжает атаковать пользователей в Турции, маскируясь под онлайн-казино и другие приложения. При запуске финансовых приложений троян накладывает фишинговые страницы для кражи учетных данных. Также зафиксированы кампании в Испании, где зловред распространялся под видом обновления браузера. В список целей вошли практически все испанские банки.
Кроме того, исследователи обнаружили менее масштабные кампании, нацеленные на пользователей в Аргентине, Бразилии, США, Индонезии и Индии. В некоторых случаях троян маскировался под приложения для криптовалютного майнинга и цифровых банков.
Новые функции: от добавления контактов до сбора сид-фраз
Разработчики Crocodilus не только расширяют географию атак, но и совершенствуют функционал. В новой версии трояна появилась возможность добавлять контакты в список жертвы. По команде "TRU9MMRHBCRO" злоумышленники могут внести номер под видом, например, "Поддержка банка", что упрощает социальную инженерию и обход систем защиты от мошенничества.
Еще одно важное нововведение - автоматический сбор сид-фраз и приватных ключей криптовалютных кошельков. Используя функцию AccessibilityLogging, троян анализирует данные на экране с помощью регулярных выражений, извлекая критически важную информацию. Это позволяет злоумышленникам получать готовые к использованию данные для кражи активов.
Выводы
Crocodilus демонстрирует стремительную эволюцию, превращаясь из локальной угрозы в глобальную проблему. Улучшенные методы обфускации, расширение географии атак и новые функции делают его одним из самых опасных банковских троянов на сегодняшний день. Пользователям рекомендуется избегать загрузки приложений из ненадежных источников и внимательно проверять разрешения, запрашиваемые программами.
* Организация Meta, а также её продукт Facebook, на который мы ссылаемся в этой статье, признаны экстремистскими на территории РФ.
Индикаторы компрометации
Domains
- rentvillcr.homes
- rentvillcr.online
SHA256
- 6d55d90d021b0980528f56d040e78fa7b85a96f5c244e23f330f24c8e80c1cb2
- fb046b7d0e385ba7ad15b766086cd48b4b099e612d8dd0a460da2385dd31e09e