Фахівці Threat Fabric виявили нове сімейство шкідливого ПЗ для мобільних пристроїв на Android. Троян націлений на певні банківські застосунки та популярні криптогаманці.
A new mobile banking Trojan has emerged—#Crocodilus. Discovered during regular threat hunting, it’s already showing capabilities that rival top malware families, including device takeover and advanced credential theft.https://t.co/RlyfFxUYHe#BankingTrojan #ThreatFabric pic.twitter.com/47zPbPfFad
— ThreatFabric (@ThreatFabric) March 28, 2025
Шкідливий вірус під назвою Crocodilus має можливості проводити атаки з оверлеєм, здійснювати кейлоггерство, забезпечувати віддалений доступ до пристрою і «приховані» операції.
Спочатку вірус встановлюється через дропер, що обходить обмеження ОС Android 13 і новіше. Після розгортання ПЗ запитує ввімкнення Accessibility Service, і, отримавши дозвіл, підключається до сервера управління.
Crocodilus працює безперервно, відстежуючи запуски цільових додатків і відображає оверлеї для перехоплення облікових даних. Щойно користувач вводить пароль або PIN-код криптогаманця, він отримує попередження про необхідність створити резервну копію приватного ключа. Використовуючи цю інформацію, зловмисники можуть отримати повний контроль над додатком і вивести всі кошти.
Джерело: Threat Fabric.
Crocodilus реєструє всі виконувані жертвою дії зі змін тексту на екрані, працюючи як кейлоггер. Але троян на додаток захоплює екран Google Authenticator, передаючи зловмисникам OTP-коди.
«Використовуючи вкрадені персональні та облікові дані, зловмисники можуть отримати повний контроль над пристроєм жертви, використовуючи вбудований віддалений доступ, здійснюючи шахрайські транзакції без виявлення», — зазначили експерти Threat Fabric.
Crocodilus може відображати чорний екран і відключати звук під час роботи додатків, щоб зробити дії шахраїв на пристрої непомітними для користувача.
Фахівці підкреслили, що троян навіть у своїх ранніх версіях демонструє «рівень зрілості, нетиповий для недавно виявлених загроз».
«Crocodilus, уже помічений в атаках на банки в Іспанії та Туреччині, а також популярні криптовалютні гаманці, явно створений для полювання за дорогими активами», — додали вони.
Нагадаємо, нещодавно експерти попередили про заражене ПЗ TradingView Premium.