Новый Android-троян Crocodilus разработан для кражи учетных данных банковских счетов и криптовалютных кошельков, представляя собой полнофункциональную угрозу с момента своего появления.
Специалисты из ThreatFabric сообщают, что заражения зафиксированы в Испании и Турции, что свидетельствует о региональной направленности атаки.
Механизмы вредоносного ПО включают удаленное управление устройством, затемнение экрана для скрытия действий и углубленный сбор данных через службы доступности, что позволяет перехватывать информацию о финансовых операциях.
Анализ исходного кода и отладочных сообщений выявил турецкие элементы, указывающие на то, что автор программы общается на турецком языке.
Заметное внимание уделяется маскировке: Crocodilus выдается за приложение Google Chrome, используя пакет с именем «quizzical.washbowl.calamity». После установки тройан запрашивает доступ к службам доступности Android и действует как dropper, обходящий ограничения Android 13+, устанавливая соединение с удаленным сервером для получения дальнейших инструкций и загрузки HTML-оверлеев.
Для атаки на криптовалютные кошельки используется оверлей, выводящий сообщение с требованием в течение 12 часов создать резервную копию seed-фраз, под предлогом угрозы потери доступа к кошельку, что приводит пользователей к предоставлению конфиденциальных данных.
Вредоносное ПО работает в фоновом режиме, отслеживая запуск приложений, активность экрана и перехватывая все события служб доступности, включая элементы интерфейса и скриншоты, в том числе приложения Google Authenticator.
Для сокрытия своей активности тройан использует черный экран-оверлей и отключение звуков, что минимизирует вероятность обнаружения злоумышленниками.
Полный функционал Crocodilus включает возможность запуска заданных приложений, самостоятельное удаление, отправку push-уведомлений и SMS, получение списков контактов, установленных приложений и сообщений, а также запрос прав администратора устройства, обновление настроек сервера управления (C2), управление звуковыми уведомлениями, ведение кейлоггинга и установку себя в качестве стандартного SMS-менеджера.
В условиях нарастающей угрозы цифровой безопасности, появление Crocodilus подчеркивает существенный скачок в сложности мобильных атак, что совпадает с иными случаями, как фишинговая кампания Forcepoint с использованием налоговых приманок для распространения трояна Grandoreiro среди пользователей Windows в Мексике, Аргентине и Испании посредством обфускированного скрипта Visual Basic.
Изображение носит иллюстративный характер
Специалисты из ThreatFabric сообщают, что заражения зафиксированы в Испании и Турции, что свидетельствует о региональной направленности атаки.
Механизмы вредоносного ПО включают удаленное управление устройством, затемнение экрана для скрытия действий и углубленный сбор данных через службы доступности, что позволяет перехватывать информацию о финансовых операциях.
Анализ исходного кода и отладочных сообщений выявил турецкие элементы, указывающие на то, что автор программы общается на турецком языке.
Заметное внимание уделяется маскировке: Crocodilus выдается за приложение Google Chrome, используя пакет с именем «quizzical.washbowl.calamity». После установки тройан запрашивает доступ к службам доступности Android и действует как dropper, обходящий ограничения Android 13+, устанавливая соединение с удаленным сервером для получения дальнейших инструкций и загрузки HTML-оверлеев.
Для атаки на криптовалютные кошельки используется оверлей, выводящий сообщение с требованием в течение 12 часов создать резервную копию seed-фраз, под предлогом угрозы потери доступа к кошельку, что приводит пользователей к предоставлению конфиденциальных данных.
Вредоносное ПО работает в фоновом режиме, отслеживая запуск приложений, активность экрана и перехватывая все события служб доступности, включая элементы интерфейса и скриншоты, в том числе приложения Google Authenticator.
Для сокрытия своей активности тройан использует черный экран-оверлей и отключение звуков, что минимизирует вероятность обнаружения злоумышленниками.
Полный функционал Crocodilus включает возможность запуска заданных приложений, самостоятельное удаление, отправку push-уведомлений и SMS, получение списков контактов, установленных приложений и сообщений, а также запрос прав администратора устройства, обновление настроек сервера управления (C2), управление звуковыми уведомлениями, ведение кейлоггинга и установку себя в качестве стандартного SMS-менеджера.
В условиях нарастающей угрозы цифровой безопасности, появление Crocodilus подчеркивает существенный скачок в сложности мобильных атак, что совпадает с иными случаями, как фишинговая кампания Forcepoint с использованием налоговых приманок для распространения трояна Grandoreiro среди пользователей Windows в Мексике, Аргентине и Испании посредством обфускированного скрипта Visual Basic.
