Что такое вредоносная программа Crocodilus?

Crocodilus — это последняя из серии вредоносных программ для Android, созданных для кражи ваших криптоактивов.

Crocodilus — это сложная вредоносная программа, которая крадет цифровые активы с устройств Android. Названная так из-за упоминаний крокодилов, разбросанных по всему коду, Crocodilus нацелена на устройства Android 13 или более поздние версии. Вредоносная программа для кошелька Android использует оверлеи, удаленный доступ и социальную инженерию для захвата устройства и опустошения криптокошелька.

Компания ThreatFabric раскрыла вредоносное ПО Crocodilus

Компания по предотвращению мошенничества Threat Fabric обнаружила вредоносное ПО Crocodilus в марте 2025 года и опубликовала подробное исследование нового вируса. По состоянию на апрель 2025 года основными целями являются пользователи в Испании и Турции. Threat Fabric прогнозирует, что Crocodilus расширится по всему миру в ближайшие месяцы.

Основной метод заражения Crocodilus пока неизвестен, но, вероятно, он следует по пути, схожему с другими вредоносными программами.

Что отличает Crocodilus от типичного вредоносного ПО для криптокошельков это его глубокая интеграция с устройством. Он делает больше, чем просто обманывает с помощью социальной инженерии. Он полностью контролирует Android.

Хотя основная причина заражения неизвестна, вредоносное ПО такого рода часто проявляется несколькими способами:

• Поддельные приложения: Crocodilus может маскироваться под легитимное приложение, связанное с криптовалютой, в Google Play Store или на сторонних сайтах размещения приложений. Threat Fabric утверждает, что вредоносная программа может обходить сканеры безопасности Google Play Store.
• Рекламные SMS-сообщения: SMS-мошенничество становится все более распространенным. Если вы получили случайное сообщение с подозрительной ссылкой, не нажимайте на нее. Она может перенаправить вас на страницу, которая загружает вредоносное ПО.
• Вредоносная реклама: зараженные объявления процветают на сайтах для взрослых или пиратского программного обеспечения. Каждое объявление стратегически размещено так, чтобы заставить случайно нажать. Для загрузки вредоносного ПО достаточно одного нажатия.
• Попытки фишинга: Некоторые вредоносные кампании отправляют вредоносные фишинговые письма, которые выдают себя за криптовалютные биржи. Дважды проверьте адрес электронной почты отправителя, чтобы убедиться в его легитимности.

После заражения вашего устройства вредоносная программа Crocodilus запросит разрешения на доступ к службе специальных возможностей. Принятие этих разрешений подключает Crocodilus к его серверу управления и контроля (C2), где злоумышленники могут отображать наложения экрана, отслеживать нажатия клавиш или активировать удаленный доступ для управления устройством.

Вредоносному ПО требуются разрешения на доступ для отображения наложений.

Однако главной отличительной чертой вредоносного ПО является его трюк с резервным копированием кошелька. Если вы входите в приложение криптовалютного кошелька с помощью пароля или PIN-кода, Crocodilus отображает поддельный оверлей. Он гласит:

«Создайте резервную копию ключа кошелька в настройках в течение 12 часов. В противном случае приложение будет сброшено, и вы можете потерять доступ к своему кошельку».

Если вы нажмете «продолжить», Crocodilus предложит ввести сид фразу Вредоносная программа отслеживает вводы с помощью своего кейлоггера. Затем у злоумышленников есть все необходимое для кражи активов

Поддельный оверлей Crocodilus имитирует легитимное программное обеспечение кошелька. Его кнопку «продолжить» легко нажать не задумываясь, но знайте, что узнаваемое приложение кошелька никогда не будет призывать вас делать резервную копию вашего кошелька таким образом. Если вы видите этот оверлей, удалите приложение и рассмотрите возможность чистой установки вашего устройства.

Crocodilus угрожает пользователям ограничением по времени, пытаясь запугать их и заставить кликнуть

К сожалению, кейлоггинг — это только начало. Crocodilus обходит процессы двухфакторной аутентификации (2FA) с помощью своего средства записи экрана, захватывая коды проверки из таких приложений, как Google Authenticator, и отправляя их на C2.

Хуже всего то, что Crocodilus отображает черную накладку и отключает звук устройства, чтобы скрыть свои действия. Он делает вид, что ваш телефон заблокирован, в то же время тихо крадя активы в фоновом режиме.

Всего вредоносная программа может выполнять 45 команд, в том числе:

Управление SMS: Crocodilus может извлекать текстовые сообщения, отправлять сообщения из списка контактов и даже сделать себя приложением для SMS по умолчанию.

Удаленный доступ: вредоносная программа получает полный контроль над устройством, позволяя ему открывать приложения, активировать камеру или запускать средство записи экрана.

Изменение текста: Crocodilus обманом заставляет ввести данные вашего кошелька, но при этом может изменять или генерировать текст, чтобы помочь C2 получить доступ к личным приложениям, используя данные, которые он находит на устройстве.

На заметку: Скрытые угрозы вредоносного ПО для криптокошельков распространены. Атаки Zero-click — вредоносное ПО, которое заражает устройство без участия пользователя — это еще одна форма криптовредоносного ПО в 2025 году.

Если вы стали жертвой крокодила, необходимо принять немедленные меры.

Если вы стали жертвой Android-трояна Crocodilus, немедленно воспользуйтесь этими советами по защите криптокошелька:

• Изолируйте свое устройство: отключите устройство от Wi-Fi или данных и выключите его. Извлеките аккумулятор, если это возможно.
• Восстановите активы: должна быть сохранена фраза seed кошелька в безопасном физическом месте. Используйте ее для восстановления кошелька на не взломанном устройстве.
• Избавьтесь от зараженного устройства: К сожалению, использование зараженного устройства сопряжено с огромным риском. Сброс настроек до заводских может не избавить от вредоносного ПО. Самый безопасный вариант — перейти на другое устройство.
• Сообщить об угрозе: если вы загрузили вредоносное приложение, например из Google Play Store, сообщите об этом соответствующим лицам.

На заметку: Если вы потеряете свои криптоактивы, их уже не вернуть. Некоторые могут посчитать это одним из недостатков децентрализации — отсутствие центрального органа для мониторинга и страхования от кражи.

Как проверить наличие атаки Crocodilus

Регулярные проверки имеют большое значение для защиты криптовалют. Узнайте, как обнаружить вредоносное крипто ПО.

Хотя Crocodilus тайно манипулирует вашим устройством, есть некоторые явные признаки заражения, на которые следует обратить внимание.

Как защитить криптовалюту на Android, если вы подозреваете атаку Crocodilus:

• Подозрительная активность приложения: проверьте трекер активности устройства. Неучтенный всплеск активности в криптовалютных или банковских приложениях может быть причиной для беспокойства.
• Проверяйте разрешения приложений: регулярно проверяйте разрешения, предоставленные приложениям, особенно те, которые запрашивают разрешения на специальные возможности.
• Увеличенный расход батареи: Небольшим, но существенным признаком заражения является повышенный расход батареи. Если батарея разряжается быстрее обычного, на вашем телефоне может работать вредоносное ПО в фоновом режиме.
• Скачки использования данных: Crocodilus постоянно передает данные на свой сервер C2. Контролируйте использование данных и будьте в курсе любых внезапных скачков. Это один из самых очевидных признаков того, что ваше приложение-кошелек скомпрометировано.

Как предотвратить взлом Crocodilus

Профилактика — лучшая форма защиты.

По данным аналитической компании Chainalysis, в 2024 году с помощью криптохакерских атак было украдено около 51 миллиарда долларов в криптовалютах. Группа ожидает, что эта цифра увеличится в 2025 году и далее. Кибербезопасность важна как никогда, поскольку расширяется сфера использования цифровых финансов.

Хотя невозможно на 100% защитить себя от киберугроз, рассмотрите возможность принятия следующих мер для своей защиты. Безопасность криптокошельков в 2025 году важнее, чем когда-либо:

Соблюдайте безопасность при просмотре веб-сайтов: избегайте подозрительных веб-сайтов, которые существуют, чтобы заставить пользователей загрузить Crocodilus и другие вредоносные программы, ворующие криптографические ключи.

Используйте аппаратный кошелек: по состоянию на апрель 2025 года Crocodilus нацелен на устройства Android. Хранение криптовалют в аппаратном кошельке ограничивает возможности вредоносного ПО.

Трижды проверяйте загрузки приложений: не загружайте приложения с небезопасных веб-сайтов. Обязательно трижды проверяйте приложения в Google Play Store и загружайте только те, в официальности которых вы уверены.

Проверьте официальные источники: следите за авторитетными сайтами по кибербезопасности, сабреддитами и другими форумами, чтобы быть в курсе методов защиты от Crocodilus.

Наконец, будьте осторожны с неожиданными запросами на резервное копирование и следите за поведением приложений на предмет подозрительной активности.