Команда дослідників кібербезпеки ThreatFabric виявила нове загрозливе шкідливе програмне забезпечення для Android – троян Crocodilus. Це ПЗ використовує передові методи соціальної інженерії для викрадення криптовалютних активів, успішно обходячи сучасні захисні механізми операційної системи Android та отримуючи доступ до конфіденційних даних користувачів.
Механізми проникнення та технічні особливості
Шкідливе ПЗ поширюється через спеціалізований дроппер, здатний обходити системи безпеки Android 13 та новіших версій. Особливо небезпечним є те, що Crocodilus встановлюється в обхід Google Play Protect та отримує доступ до критичного сервісу Accessibility Service, що надає йому широкі можливості для маніпуляцій із пристроєм жертви.
Методи атаки та функціональні можливості
Після успішного встановлення троян отримує розширений контроль над пристроєм через Accessibility Service. Це дозволяє йому відстежувати дії користувача, зчитувати вміст екрану та емулювати навігаційні жести. При відкритті цільових додатків Crocodilus накладає фальшиві інтерфейси для перехоплення конфіденційних даних.
Тактика соціальної інженерії
Троян використовує витончені методи психологічного тиску на користувачів. Він показує підроблені системні повідомлення про необхідність “термінового збереження ключа гаманця в налаштуваннях”, погрожуючи втратою доступу до активів. Коли користувач вводить seed-фразу, вона миттєво перехоплюється через Accessibility Logger.
Можливості віддаленого керування
Crocodilus функціонує як RAT (Remote Access Trojan) з підтримкою 23 команд віддаленого керування. Зловмисники можуть:
– Контролювати пристрій
– Робити знімки екрану
– Перехоплювати 2FA-коди з Google Authenticator
– Приховувати свою активність за допомогою чорного оверлею
– Вимикати звук пристрою
Географія поширення та потенційні загрози
На сьогодні активність Crocodilus зафіксована переважно в Туреччині та Іспанії. Аналіз відлагоджувальних повідомлень вказує на турецьке походження трояна. Експерти прогнозують швидке розширення географії атак та збільшення кількості цільових додатків.
Для захисту від Crocodilus та подібних загроз рекомендується дотримуватися базових правил кібербезпеки: встановлювати додатки лише з офіційних джерел, регулярно оновлювати системи захисту та ніколи не надавати seed-фрази чи ключі криптогаманців на запити програм. Легітимні сервіси ніколи не запитують такі конфіденційні дані. При виявленні підозрілої активності необхідно негайно звернутися до фахівців з кібербезпеки.
