Эксперты по кибербезопасности из ThreatFabric обнаружили новое вредоносное ПО для Android под названием Crocodilus, которое использует продвинутые техники социальной инженерии для кражи криптовалютных активов. Особенность этого трояна заключается в его способности обходить современные механизмы защиты Android и похищать seed-фразы криптовалютных кошельков под видом создания резервных копий.
Технические особенности и механизмы распространения
Crocodilus распространяется через специализированный дроппер, способный обходить защитные механизмы Android 13 и более новых версий операционной системы. Примечательно, что вредоносное ПО успешно устанавливается без активации Google Play Protect и получает доступ к критически важному сервису Accessibility Service, что открывает широкие возможности для манипуляций с устройством.
Функциональные возможности и методы атаки
После успешной установки троян получает расширенные возможности контроля над устройством. Используя доступ к Accessibility Service, Crocodilus может отслеживать действия пользователя, читать содержимое экрана и эмулировать навигационные жесты. При открытии целевых банковских или криптовалютных приложений вредонос накладывает поддельные интерфейсы для перехвата конфиденциальных данных.
Особенности социальной инженерии
Ключевой механизм работы трояна основан на психологическом давлении на пользователя. Вредонос отображает поддельное уведомление о необходимости «сохранить ключ кошелька в настройках в течение 12 часов», угрожая полной потерей доступа к активам. Когда пользователь, поддавшись на манипуляцию, вводит seed-фразу, Crocodilus немедленно перехватывает эти данные через Accessibility Logger.
Расширенные возможности удаленного управления
Троян обладает функционалом RAT (Remote Access Trojan) с поддержкой 23 различных команд для удаленного управления. Операторы могут контролировать устройство, делать скриншоты, перехватывать коды двухфакторной аутентификации из Google Authenticator и маскировать свою активность с помощью черного оверлея или отключения звука.
Географическое распространение и потенциальные угрозы
На данный момент активность Crocodilus зафиксирована преимущественно в Турции и Испании, причем анализ отладочных сообщений указывает на турецкое происхождение вредоноса. Однако специалисты предупреждают о высокой вероятности расширения географии атак и увеличения числа целевых приложений в ближайшем будущем.
Учитывая растущую изощренность банковских троянов и их способность обходить современные механизмы защиты, пользователям рекомендуется проявлять особую бдительность при установке приложений, избегать загрузок из непроверенных источников и регулярно обновлять системы безопасности своих устройств. Особое внимание следует уделять любым запросам на предоставление seed-фраз или ключей криптовалютных кошельков, так как легитимные сервисы никогда не запрашивают такую информацию.
