Аналітики кібербезпеки зафіксували небезпечну еволюцію банківського трояна Crocodilus, який отримав унікальну здатність створювати фальшиві контакти в телефонній книзі заражених пристроїв. Ця інноваційна функція відкриває кіберзлочинцям нові можливості для проведення складних атак соціальної інженерії, дозволяючи видавати себе за банківських працівників або навіть знайомих жертви.
Глобальне поширення та початкова ідентифікація
Шкідливе програмне забезпечення вперше виявили фахівці компанії Threat Fabric у березні 2025 року. Початково троян орієнтувався виключно на користувачів з Туреччини та Іспанії, проте останні дослідження демонструють кардинальне розширення географічного охоплення. Сьогодні Crocodilus активно діє на всіх континентах, що свідчить про серйозні наміри операторів цієї загрози.
Перші версії малвару зосереджувалися на примушуванні користувачів розкривати seed-фрази криптовалютних гаманців під приводом створення резервних копій. Одночасно троян демонстрував стандартні можливості банківського шкідливого ПЗ: перехоплення контролю над пристроєм, збір конфіденційних даних та віддалене адміністрування.
Технічні вдосконалення сучасних версій
Дослідники відзначають суттєве підвищення технічної складності вірусу. В оновлених версіях впроваджені покращені механізми ухилення від виявлення, включаючи упаковку коду в дроппер-компоненті та додатковий рівень XOR-шифрування корисного навантаження.
Розробники приділили особливу увагу протидії аналізу: код зазнав значної обфускації та ускладнення структури, що істотно ускладнює процес реверс-інжинірингу для дослідників безпеки.
Локальна обробка викрадених даних
Інноваційною особливістю стала система попереднього аналізу викраденої інформації безпосередньо на зараженому пристрої. Такий підхід дозволяє зловмисникам фільтрувати та структурувати дані перед їх передачею на командні сервери, підвищуючи ефективність подальшого аналізу та знижуючи мережевий трафік.
Механізм підміни контактів: нова загроза соціальної інженерії
Найнебезпечнішою новацією є функція створення підроблених контактів у телефонній книзі жертви. При отриманні команди TRU9MMRHBCRO троян використовує ContentProvider API для створення локального контакта з довільним ім’ям та номером телефону.
Механізм працює наступним чином: при вхідному дзвінку система відображає ім’я зі створеного контакта, а не ідентифікатор абонента. Це дозволяє шахраям представлятися як “Служба підтримки банку”, “Технічна підтримка” або використовувати імена людей з оточення жертви.
Важлива технічна деталь: підроблені контакти створюються виключно в локальному сховищі та не прив’язуються до облікового запису Google, тому не синхронізуються з іншими пристроями користувача.
Потенційні сценарії атак
Дослідники прогнозують використання нової функціональності в комплексних схемах шахрайства. Типовий сценарій може включати створення контакта з назвою банку жертви, після чого зловмисники ініціюють телефонний дзвінок, представляючись співробітниками служби безпеки.
Довіра, що виникає при перегляді знайомої назви організації на екрані, значно підвищує ймовірність успішного вимагання конфіденційної інформації: даних банківських карт, паролів, кодів підтвердження операцій.
Еволюція Crocodilus у напрямку соціальної інженерії становить серйозну загрозу для користувачів мобільних пристроїв. Поєднання технічних можливостей сучасного малвару з психологічними методами впливу створює особливо небезпечний інструмент кіберзлочинності. Користувачам варто проявляти підвищену обережність при отриманні дзвінків від нібито знайомих організацій та завжди верифікувати автентичність звернень через офіційні канали зв’язку.
