Исследователи кибербезопасности зафиксировали значительную эволюцию банковского трояна Crocodilus, который теперь способен создавать поддельные контакты на зараженных устройствах. Эта новая функциональность открывает злоумышленникам широкие возможности для проведения атак социальной инженерии, позволяя выдавать себя за представителей банков, службы поддержки или даже близких людей жертвы.
География распространения и первоначальное обнаружение
Впервые вредоносное ПО было идентифицировано специалистами компании Threat Fabric в марте 2025 года. Изначально троян атаковал исключительно пользователей из Турции и Испании, однако последние исследования показывают кардинальное расширение географии атак. На текущий момент Crocodilus активен на всех континентах, что свидетельствует о серьезных амбициях операторов этой угрозы.
Основной целью первых версий малвари было принуждение пользователей к раскрытию seed-фраз криптовалютных кошельков под предлогом создания резервных копий. Параллельно троян демонстрировал классические возможности банковской малвари: перехват управления устройством, сбор конфиденциальных данных и удаленное администрирование.
Технические усовершенствования новых версий
Аналитики отмечают существенное повышение технической сложности вредоноса. В обновленных версиях реализованы улучшенные механизмы уклонения от обнаружения, включающие упаковку кода в дроппер-компоненте и дополнительный уровень XOR-шифрования полезной нагрузки.
Особое внимание разработчики уделили противодействию анализу: код подвергся значительной обфускации и усложнению структуры, что существенно затрудняет процесс реверс-инжиниринга для исследователей безопасности.
Локальная обработка украденных данных
Инновационной особенностью стала система предварительного анализа похищенной информации непосредственно на зараженном устройстве. Данный подход позволяет злоумышленникам фильтровать и структурировать данные перед их передачей на командные серверы, повышая эффективность последующего анализа и снижая сетевой трафик.
Механизм подмены контактов: новая угроза социальной инженерии
Наиболее опасной новацией является функция создания фальшивых контактов в телефонной книге жертвы. При получении команды TRU9MMRHBCRO троян задействует ContentProvider API для создания локального контакта с произвольным именем и номером телефона.
Механизм работает следующим образом: при входящем звонке система отображает имя из созданного контакта, а не идентификатор звонящего. Это позволяет мошенникам представляться как «Служба поддержки банка», «Техническая поддержка» или использовать имена людей из окружения жертвы.
Важная техническая деталь: поддельные контакты создаются исключительно в локальном хранилище и не привязываются к аккаунту Google, поэтому не синхронизируются с другими устройствами пользователя.
Потенциальные сценарии атак
Исследователи прогнозируют использование новой функциональности в комплексных схемах мошенничества. Типичный сценарий может включать создание контакта с названием банка жертвы, после чего злоумышленники инициируют телефонный звонок, представляясь сотрудниками службы безопасности.
Доверие, возникающее при виде знакомого названия организации на экране, значительно повышает вероятность успешного выманивания конфиденциальной информации: данных банковских карт, паролей, кодов подтверждения операций.
Эволюция Crocodilus в направлении социальной инженерии представляет серьезную угрозу для пользователей мобильных устройств. Комбинация технических возможностей современной малвари с психологическими методами воздействия создает особенно опасный инструмент киберпреступности. Пользователям следует проявлять повышенную осторожность при получении звонков от якобы знакомых организаций и всегда верифицировать подлинность обращений через официальные каналы связи.
