Дослідники з Threat Fabric ідентифікували новий штам шкідливого програмного забезпечення, націленого на мобільні пристрої Android. Цей троян спрямований на конкретні банківські програми та відомі гаманці криптовалюти.
З’явився новий мобільний банківський троян — #Crocodilus. Виявлене під час звичайного аналізу загроз, воно вже демонструє можливості, які конкурують з провідними сімействами зловмисного програмного забезпечення, включаючи захоплення пристрою та складну крадіжку облікових даних. https://t.co/RlyfFxUYHe #BankingTrojan #ThreatFabric pic.twitter.com/47zPbPfFad
— ThreatFabric (@ThreatFabric) 28 березня 2025 р.
Шкідливе програмне забезпечення, відоме як Crocodilus, здатне виконувати атаки накладення , вести клавіатурні журнали , надавати віддалений доступ до пристрою та виконувати «приховані» операції.
Спочатку зловмисне програмне забезпечення встановлюється через дроппер, який обходить обмеження Android 13 і новіших версій. Після встановлення програмне забезпечення пропонує користувачеві ввімкнути службу доступності та після отримання необхідних дозволів підключається до свого сервера керування.
Crocodilus працює безперервно, відстежуючи запуск цільових додатків і надаючи накладки для отримання облікових даних. Коли користувач вводить пароль або PIN-код для свого криптогаманця, йому показується попередження з порадою створити резервну копію свого закритого ключа. Маючи ці дані, зловмисники можуть отримати повний контроль над додатком і викачати всі кошти.
Джерело: Threat Fabric.
Crocodilus записує всі дії жертви, включаючи будь-які зміни тексту на екрані, функціонуючи як кейлоггер. Крім того, троян захоплює екран Google Authenticator, надсилаючи коди OTP зловмисникам.
«Використовуючи викрадену особисту та облікову інформацію, зловмисники можуть отримати повний контроль над пристроєм жертви через вбудований віддалений доступ, дозволяючи їм виконувати шахрайські транзакції непоміченими», — зауважили експерти з Threat Fabric.
Crocodilus може затемнювати екран і вимикати звук під час використання програми, щоб зробити дії шахраїв непомітними для користувача.
Експерти підкреслили, що навіть у своїх початкових версіях троян демонструє «рівень зрілості, незвичний для нещодавно виявлених загроз».
«Crocodilus, який вже був помічений під час атак на банки в Іспанії та Туреччині, а також на популярні криптовалютні гаманці, схоже, стратегічно розроблений для націлювання на активи високої вартості», — заявили вони далі.
Варто зазначити, що нещодавно експерти випустили попередження щодо зараженого програмного забезпечення TradingView Premium.
Arabic
Chinese (Simplified)
Dutch
English
French
German
Italian
Portuguese
Spanish
Ukrainian