" Банковский троян для Android под названием Crocodilus запустил новые кампании, нацеленные на пользователей криптовалют и банковских клиентов по всей Европе и Южной Америке.
Впервые обнаруженные в марте 2025 года, ранние образцы Crocodilus были в основном ограничены Турцией, где вредоносное ПО выдавало себя за приложения онлайн-казино или поддельные банковские приложения для кражи учетных данных для входа.
Согласно выводам команды по анализу угроз для мобильных устройств (MTI) компании ThreatFabric, недавние кампании показывают, что теперь оно поражает цели в Польше, Испании, Аргентине, Бразилии, Индонезии, Индии и США.
Кампания, нацеленная на польских пользователей, использовала рекламу Facebook* для продвижения поддельных приложений лояльности. Нажатие на объявление перенаправляло пользователей на вредоносные сайты, предоставляя дроппер Crocodilus, который обходит ограничения Android 13+.
Данные прозрачности Facebook* показали, что эти объявления охватывали тысячи пользователей всего за один-два часа, с упором на аудиторию старше 35 лет.
Вредоносное ПО Crocodilus распространяется по всему миру. Источник: ThreatFabric
Crocodilus нацелен на банковские и криптовалютные приложения
После установки Crocodilus накладывает поддельные страницы входа поверх законных банковских и криптографических приложений. Он также маскировался под обновление браузера в Испании, нацеленное почти на все крупные банки.
Помимо географического расширения, Crocodilus добавил новые возможности. Одним из заметных обновлений является возможность изменять списки контактов зараженных устройств, что позволяет злоумышленникам вставлять номера телефонов, помеченные как «Поддержка банка», которые могут использоваться для атак с использованием социальной инженерии.
Еще одним ключевым улучшением является автоматизированный сборщик начальных фраз, нацеленный на криптовалютные кошельки. Теперь вредоносное ПО Crocodilus может извлекать начальные фразы и закрытые ключи с большей точностью, предоставляя злоумышленникам предварительно обработанные данные для быстрого захвата учетных записей.
Тем временем разработчики усилили защиту Crocodilus за счет более глубокой обфускации. Последняя версия отличается упакованным кодом, дополнительным шифрованием XOR и намеренно запутанной логикой для противодействия реверсному инжинирингу.
Аналитики MTI также наблюдали более мелкие кампании, нацеленные на приложения для майнинга криптовалют и европейские цифровые банки.
«Как и ее предшественник, новый вариант Crocodilus уделяет много внимания приложениям для криптовалютных кошельков, — говорится в отчете, — Этот вариант был оснащен дополнительным парсером, помогающим извлекать начальные фразы и закрытые ключи определенных кошельков».
Источник: ThreatFabric.
Криптовалютные краулеры продаются как вредоносное ПО
В отчете от 22 апреля криптокриминалистическая и комплаенс-компания AMLBot сообщила, что криптокраулеры, вредоносное ПО, предназначенное для кражи криптовалюты, стали более доступными, поскольку экосистема развивается в бизнес-модель «программное обеспечение как услуга».
В отчете говорится, что распространители вредоносного ПО могут арендовать краулер всего за 100–300 USDT.
19 мая стало известно, что китайский производитель принтеров Procolored распространял вредоносное ПО для кражи биткоинов вместе со своими официальными драйверами.
* Американская корпорация Meta Platforms и принадлежащие ей социальные сети Facebook и Instagram признаны экстремистскими и запрещены в РФ.
