Всё, что видит Android-пользователь — обман: Crocodilus имитирует банки, казино и браузеры

Банковский троян Crocodilus, впервые зафиксированный в марте 2025 года , стремительно выходит за пределы первоначальных мишеней и распространяется по Европе и Южной Америке. По данным отчёта компании ThreatFabric , вредоносное ПО стало технически сложнее, получило новые функции и активно используется в масштабных кампаниях, направленных на пользователей Android .

Изначально Crocodilus маскировался под приложения вроде Google Chrome и атаковал жителей Турции и Испании, используя накладные окна для кражи данных входа в банковские приложения. Однако теперь география вредоноса значительно расширилась: зафиксированы целевые атаки в Польше, Аргентине, Бразилии, Индии, Индонезии и США. При этом атаки в Турции и Испании продолжаются, но получили новые сценарии: в одном случае вредонос распространяется под видом обновления браузера, в другом — под видом онлайн-казино.

Особо выделяются кампании в Польше: здесь злоумышленники размещают поддельные объявления в социальной сети Facebook*, маскируясь под банки и известные интернет-магазины. Обманутых пользователей перенаправляют на вредоносный сайт, где им предлагают скачать приложение для получения бонусов. Фактически же загружается дроппер Crocodilus.

Одна из новых функций трояна — возможность добавления фальшивого контакта в адресную книгу заражённого устройства по команде «TRU9MMRHBCRO». Исследователи предполагают, что этот механизм нужен для обхода новой защиты Android, предупреждающей о возможном мошенничестве при запуске банковских приложений в режиме совместного экрана. Добавленный контакт с именем по типу «Поддержка банка» позволяет злоумышленникам звонить жертве и казаться легитимной службой, обходя при этом системы ант ифрода , которые распознают неизвестные номера.

Также в свежих версиях Crocodilus появилась функция автоматического сбора seed-фраз и приватных ключей от криптовалютных кошельков. Это реализовано через специальный парсер, способный извлекать такие данные из интерфейсов популярных кошельков, используя права на доступ к службам доступности Android. После захвата информации злоумышленники получают прямой доступ к криптоактивам жертвы.

Кроме того, вредонос теперь применяет усовершенствованные методы обфускации, что затрудняет его анализ и детектирование антивирусными решениями. Всё это говорит о том, что Crocodilus не только активно поддерживается, но и быстро развивается, становясь всё более опасным. По мнению специалистов ThreatFabric, перед пользователями стоит уже не региональная, а глобальная угроза .

* Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.