Android Banking Trojan Crocodilus запустил новые кампании, направленные на пользователей криптовалюты и банковских клиентов по всей Европе и Южной Америке.
Впервые обнаруженные в марте 2025 года, ранние образцы крокодилуса были в значительной степени ограничены Турцией, где вредоносное ПО создавалось как приложения онлайн -казино или поддельные банки для кражи учетных данных.
Тем не менее, недавние кампании показывают, что Trojan расширяет свой охват, в настоящее время достигая целей в Польше, Испании, Аргентине, Бразилии, Индонезии, Индии и США, согласно новым выводам команды WehestFabric Mobile Wehage Intelligence (MTI).
Кампания, нацеленная на польские пользователи, нажала на рекламу Facebook для продвижения поддельных приложений лояльности. Нажав на рекламу, перенаправленные пользователей на злонамеренные сайты, доставляя капельницу Crocodilus, которая обходит ограничения Android 13+.
Данные о прозрачности Facebook показали, что эти объявления достигли тысяч пользователей всего за один -два часа, с акцентом на аудиторию старше 35 лет.
Связанный: Microsoft принимает судебный иск против Infostealer Lumma
Crocodilus нацелен на банковские и криптовалютные приложения
После установки Crocodilus накладывает фальшивые страницы входа в верх над законными банковскими и криптовалютными приложениями. Он маскируется под обновление браузера в Испании, нацеленное на почти все основные банки.
Помимо географического расширения, Crocodilus добавил новые возможности. Одним из примечательных обновлений является возможность изменения списков контактов с зараженными устройствами, что позволяет злоумышленникам вставить номера телефонов, помеченные как «поддержка банка», которые можно использовать для атак социальной инженерии.
Другим ключевым улучшением является автоматизированный сборщик семян, нацеленный на криптовалютные кошельки. Вдобаловка Crocodilus теперь может извлекать семенные фразы и частные ключи с большей точностью, питающие злоумышленники предварительно обрабатывали данные для быстрого поглощения учетных записей.
Между тем, разработчики укрепили защиту Crocodilus посредством более глубокого запутывания. Последний вариант функций упакованного кода, дополнительное шифрование XOR и намеренно запутанная логика для противодействия обратной технике.
Аналитики MTI также наблюдали небольшие кампании, нацеленные на приложения для добычи криптовалюты и европейские цифровые банки на фоне растущего внимания Crocodilus на крипто.
«Как и его предшественник, новый вариант Crocodilus уделяет большое внимание приложениям для криптовалют кошелька», – говорится в отчете. «Этот вариант был оснащен дополнительным анализатором, помогающим извлечь семенные фразы и личные ключи от конкретных кошельков».
Связанный: ColdRiver Используя новое вредоносное ПО для кражи у западных целей – Google
дрендежировки криптовалюты продаются в качестве вредоносного ПО
В отчете от 22 апреля криптовалюта и фирма по соблюдению требований Amlbot сообщила, что дренажеры криптовалюты, вредоносные программы, предназначенные для кражи криптовалюты, стали легче добраться, поскольку экосистема превращается в бизнес-модель программного обеспечения как услуги.
В отчете показано, что распределители вредоносных программ могут арендовать дриплу всего за 100-300 USDT (USDT).
19 мая выяснилось, что китайский производитель принтеров Procologed распределенные биткоин-кишечные вредоносные программы вместе со своими официальными водителями. Сообщается, что компания использовала драйверы USB для распространения драйверов, связанных с вредоносными программами, и загрузила скомпрометированное программное обеспечение в облачное хранилище для глобального загрузки.
