Експерти виявили Android-троян, націлений на криптогаманець – ForkLog UA
Дослідники з Threat Fabric виявили нову категорію зловмисного програмного забезпечення, націленого на мобільні пристрої Android. Цей троян спеціально націлений на певні банківські програми та широко використовувані криптогаманці.
З’явився новий мобільний банківський троян — #Crocodilus. Виявлене під час звичайного пошуку загроз, воно вже демонструє можливості, які конкурують з провідними сімействами зловмисного програмного забезпечення, включаючи захоплення пристрою та складну крадіжку облікових даних. https://t.co/RlyfFxUYHe #BankingTrojan #ThreatFabric pic.twitter.com/47zPbPfFad
— ThreatFabric (@ThreatFabric) 28 березня 2025 р.
Шкідливе програмне забезпечення під назвою Crocodilus має здатність виконувати накладні атаки, проводити клавіатурні журнали , надавати віддалений доступ до пристрою та виконувати «приховані» операції.
Зловмисне програмне забезпечення спочатку встановлюється через дроппер, який обходить обмеження Android 13 і новіших версій. Після встановлення програма пропонує користувачеві ввімкнути службу доступності та, отримавши згоду, підключається до сервера керування.
Crocodilus працює безперервно, відстежуючи запуск цільових програм і відображаючи накладки для отримання облікових даних. Коли користувач вводить свій пароль або PIN-код для крипто-гаманця, йому пропонується створити резервну копію приватного ключа. Маючи цю інформацію, зловмисники можуть отримати повний контроль над програмою та злити всі кошти.
Джерело: Threat Fabric.
Crocodilus реєструє всі дії жертви, включаючи будь-які зміни тексту на екрані, функціонуючи як кейлоггер. Крім того, троян захоплює інтерфейс Google Authenticator, пересилаючи коди OTP зловмисникам.
«Використовуючи викрадені персональні та облікові дані, зловмисники можуть отримати повний контроль над пристроєм жертви через вбудований віддалений доступ, виконуючи шахрайські транзакції без виявлення», — зазначили експерти з Threat Fabric.
Crocodilus може показувати чорний екран і вимикати звук під час роботи програм, що робить дії шахраїв на пристрої непомітними для користувача.
Експерти підкреслили, що троян навіть у своїх початкових ітераціях демонструє «рівень складності, незвичний для нещодавно виявлених загроз».
«Crocodilus, який вже був помічений під час атак на банки в Іспанії та Туреччині, а також на популярні криптовалютні гаманці, очевидно, створений для націлювання на активи високої вартості», — додали вони.
Важливо відзначити, що нещодавно експерти випустили попередження щодо скомпрометованого програмного забезпечення TradingView Premium.
