Android Banking Trojan Crocodilus розпочав нові кампанії, спрямовані на користувачів криптовалют та банківських клієнтів по всій Європі та Південній Америці.
Вперше виявлені в березні 2025 року, ранні зразки крокодилу були значною мірою обмежені Туреччиною, де зловмисне програмне забезпечення представлялося як додатки для казино в Інтернеті або підроблені банківські програми для викрадення облікових даних для входу.
Однак останні кампанії показують, що троянський розширення його охоплення, тепер вражаючи цілі в Польщі, Іспанії, Аргентині, Бразилії, Індонезії, Індії та США, згідно з новими висновками команди мобільної загрози “Загрози” (MTI).
Кампанія, орієнтована на польські користувачі, отримала рекламу Facebook, щоб сприяти підробленим програмам лояльності. Клацання користувачів, що перенаправляли рекламу, на шкідливі сайти, доставляючи крапельницю Crocodilus, який обходить обмеження Android 13+.
Дані прозорості у Facebook показали, що ці оголошення отримували тисячі користувачів лише за одну -дві години, з акцентом на аудиторію понад 35.
Пов’язано: Microsoft вживає юридичних дій проти Infostealer Lumma
Crocodilus націлює на банківські та криптовалютні програми
Після встановлення Crococodilus накладає підроблені сторінки для входу в поверх законних програм банківської та криптовалюти. Він маскується як оновлення браузера в Іспанії, орієнтуючись на майже всі основні банки.
Крім географічного розширення, Crocodilus додав нові можливості. Одне помітне оновлення – це можливість змінювати списки контактних пристроїв заражених пристроїв, що дозволяє зловмисникам вставляти номери телефонів, позначені як “банківська підтримка”, які можуть бути використані для нападів соціальної інженерії.
Ще одне ключове вдосконалення – це автоматизований колектор фрази насіння, спрямований на гаманці криптовалют. Зловмисне програмне забезпечення Crocodilus тепер може витягти насіннєві фрази та приватні ключі з більшою точністю, годування зловмисників заздалегідь обробляли дані для швидких заходів.
Тим часом розробники посилили захисні сили крокодилу через глибше затьмарення. Останній варіант має упакований код, додаткове шифрування XOR та навмисно перекручену логіку для протистояння зворотному інженерії.
Аналітики MTI також спостерігали менші кампанії, орієнтовані на програми для видобутку криптовалют та європейські цифрові банки на тлі зростаючої фокус Crocodilus на криптовалюті.
“Як і його попередник, новий варіант Crocodilus приділяє багато уваги програмам криптовалюти”, – йдеться у повідомленні.”Цей варіант був оснащений додатковим аналізатором, що допомагає витягти насіннєві фрази та приватні ключі конкретних гаманців”.
Пов’язано: Coldriver за допомогою нового зловмисного програмного забезпечення для крадіжки із західних цілей – Google
Окраїні криптовалюти продаються як зловмисне програмне забезпечення
У звіті 22 квітня фірма з криптовалютою та дотриманням фірми AMLBOT виявила, що злиття криптовалют, зловмисне програмне забезпечення, призначене для крадіжки криптовалюти, стало легше отримати доступ, оскільки екосистема перетворюється на бізнес-модель програмного забезпечення.
У звіті було показано, що розповсюджувачі зловмисних програм можуть взяти напрокат зливуть всього від 100 до 300 USDT (USDT).
19 травня було виявлено, що китайський виробник принтерів проколював розподілений шкідливий програмний програмний програмне забезпечення для крадіжки біткойна поряд із офіційними водіями. Як повідомляється, компанія використовувала USB-драйвери для розповсюдження драйверів, що мають зловмисне програмне забезпечення, та завантажила компрометоване програмне забезпечення для хмарного зберігання для глобального завантаження.
