Android-троян Crocodilus запустил новые кампании, нацеленные на пользователей криптовалют и клиентов банков в Европе и Южной Америке.
Первые образцы Crocodilus были обнаружены в марте 2025 года и в основном ограничивались Турцией, где вредоносное ПО маскировалось под онлайн-казино или поддельные банковские приложения для кражи учетных данных.
Недавние кампании показывают, что теперь оно поражает цели в Польше, Испании, Аргентине, Бразилии, Индонезии, Индии и США, согласно данным исследовательской группы Mobile Threat Intelligence (MTI) компании ThreatFabric.
В ходе одной из кампаний, нацеленной на польских пользователей, использовалась реклама Facebook Ads для продвижения поддельных приложений для программ лояльности. При нажатии на рекламу пользователи перенаправлялись на вредоносные сайты, которые загружали дроппер Crocodilus, обходя ограничения Android 13+.
Данные о прозрачности Facebook показали, что эта реклама охватила тысячи пользователей всего за один-два часа, при этом основной упор делался на аудиторию старше 35 лет.
Crocodilus атакует банковские и крипто-приложения
После установки Crocodilus накладывает фальшивые страницы входа поверх легитимных банковских и крипто-приложений. В Испании оно маскировалось под обновление браузера, нацеленное почти на все крупные банки.
Помимо географического расширения, Crocodilus получил новые возможности. Одним из заметных обновлений является возможность модифицировать списки контактов на зараженных устройствах, позволяя злоумышленникам добавлять номера телефонов с пометкой «Поддержка банка», которые могут быть использованы для атак социальной инженерии.
Еще одним ключевым улучшением является автоматизированный сборник seed-фраз, предназначенный для криптовалютных кошельков. Вредоносное ПО Crocodilus теперь может извлекать seed-фразы и закрытые ключи с большей точностью, предоставляя злоумышленникам предварительно обработанные данные для быстрого захвата учетных записей.
В то же время разработчики усилили защиту Crocodilus за счет более глубокой обфускации. Последний вариант включает упакованный код, дополнительное XOR-шифрование и намеренно запутанную логику, чтобы противостоять реверс-инжинирингу.
Аналитики MTI также наблюдали небольшие кампании, нацеленные на приложения для майнинга криптовалют и европейские цифровые банки.
«Подобно своему предшественнику, новый вариант Crocodilus уделяет большое внимание приложениям для криптовалютных кошельков», — говорится в отчете. «Этот вариант был оснащен дополнительным парсером, помогающим извлекать seed-фразы и закрытые ключи конкретных кошельков».
Дрейнеры криптовалюты продаются как вредоносное ПО
В отчете от 22 апреля компания AMLBot, специализирующаяся на крипто-аналитике и соблюдении нормативных требований, сообщила, что дрейнеры криптовалюты, вредоносное ПО, предназначенное для кражи криптовалюты, стали более доступными, поскольку экосистема развивается в направлении бизнес-модели «программное обеспечение как услуга».
В отчете говорится, что распространители вредоносного ПО могут арендовать дрейнер всего за 100-300 USDT.
19 мая стало известно, что китайский производитель принтеров Procolored распространял вредоносное ПО для кражи Bitcoin вместе со своими официальными драйверами.
