Cybersecurity-Experten haben eine besorgniserregende Weiterentwicklung des Crocodilus Banking-Trojaners entdeckt, der nun in der Lage ist, gefälschte Kontakte auf infizierten Android-Geräten zu erstellen. Diese neue Funktionalität eröffnet Cyberkriminellen völlig neue Möglichkeiten für ausgeklügelte Social Engineering-Angriffe, bei denen sie sich als Bankvertreter, Support-Mitarbeiter oder sogar als vertraute Personen ausgeben können.
Globale Ausbreitung nach regionalem Start
Die Malware wurde erstmals im März 2025 von den Sicherheitsforschern bei Threat Fabric identifiziert. Ursprünglich konzentrierte sich Crocodilus ausschließlich auf Nutzer in der Türkei und Spanien. Aktuelle Analysen zeigen jedoch eine dramatische Ausweitung der Angriffsziele auf alle Kontinente, was die wachsenden Ambitionen der Malware-Betreiber verdeutlicht.
In den ersten Versionen zielte die Schadsoftware hauptsächlich darauf ab, Nutzer zur Preisgabe ihrer Kryptowallet-Seed-Phrasen zu bewegen, angeblich für Backup-Zwecke. Parallel dazu verfügte der Trojaner bereits über klassische Banking-Malware-Funktionen wie Geräteübernahme, Datendiebstahl und Fernzugriff.
Fortschrittliche Verschleierungstechniken erschweren Erkennung
Die neuesten Versionen von Crocodilus zeigen eine erheblich gesteigerte technische Komplexität. Die Entwickler haben verbesserte Anti-Detection-Mechanismen implementiert, darunter Code-Packing in Dropper-Komponenten und zusätzliche XOR-Verschlüsselungsebenen für die Payload.
Besonders hervorzuheben ist die intensive Code-Verschleierung, die eine Reverse-Engineering-Analyse erheblich erschwert. Diese Maßnahmen zielen darauf ab, Sicherheitsforschern die Untersuchung der Malware zu erschweren und deren Verbreitung zu verlängern.
Lokale Datenverarbeitung optimiert Effizienz
Ein innovativer Ansatz ist die lokale Vorverarbeitung gestohlener Daten direkt auf dem infizierten Gerät. Diese Methode ermöglicht es den Angreifern, Informationen zu filtern und zu strukturieren, bevor sie an Command-and-Control-Server übertragen werden. Dies reduziert den Netzwerkverkehr und verbessert die Analyse-Effizienz.
Kontakt-Manipulation: Neue Dimension des Social Engineering
Die gefährlichste Neuerung ist die Fähigkeit zur Erstellung falscher Kontakte in der Telefonbuch-App des Opfers. Durch den Befehl TRU9MMRHBCRO nutzt der Trojaner die ContentProvider API, um lokale Kontakte mit beliebigen Namen und Telefonnummern zu erstellen.
Der Mechanismus funktioniert folgendermaßen: Bei eingehenden Anrufen zeigt das System den Namen aus dem erstellten Kontakt anstelle der tatsächlichen Anrufer-ID an. Dadurch können sich Betrüger glaubwürdig als „Bank-Support“, „Technischer Service“ oder sogar als bekannte Personen ausgeben.
Wichtig zu beachten ist, dass diese gefälschten Kontakte nur lokal gespeichert werden und nicht mit Google-Konten synchronisiert werden, wodurch sie auf andere Geräte des Nutzers beschränkt bleiben.
Praxisnahe Angriffszenarien und Risikobewertung
Sicherheitsexperten erwarten den Einsatz dieser Funktionalität in komplexen Betrugsschemen. Ein typisches Szenario könnte die Erstellung eines Kontakts mit dem Namen der Bank des Opfers beinhalten, gefolgt von einem Anruf, bei dem sich die Kriminellen als Sicherheitsmitarbeiter ausgeben.
Das durch den vertrauten Organisationsnamen erzeugte Vertrauen erhöht die Erfolgswahrscheinlichkeit beim Abgreifen sensibler Informationen wie Kreditkartendaten, Passwörtern oder Transaktions-Codes erheblich.
Die Evolution von Crocodilus hin zu ausgeklügelten Social Engineering-Techniken stellt eine erhebliche Bedrohung für mobile Nutzer dar. Die Kombination aus fortschrittlichen Malware-Fähigkeiten und psychologischen Manipulationstechniken schafft ein besonders gefährliches Cybercrime-Werkzeug. Nutzer sollten bei Anrufen von vermeintlich bekannten Organisationen erhöhte Vorsicht walten lassen und die Authentizität stets über offizielle Kommunikationskanäle verifizieren.
