Експерти виявили націлений на криптогаманці Android-троян
Фахівці Threat Fabric виявили нову категорію шкідливого програмного забезпечення для мобільних пристроїв на базі Android. Троян націлений на специфічні банківські додатки та популярні криптогаманці.
A new mobile banking Trojan has emerged—#Crocodilus. Discovered during regular threat hunting, it’s already showing capabilities that rival top malware families, including device takeover and advanced credential theft.https://t.co/RlyfFxUYHe#BankingTrojan #ThreatFabric pic.twitter.com/47zPbPfFad
— ThreatFabric (@ThreatFabric) March 28, 2025
Шкідливий вірус під назвою Crocodilus має можливості здійснювати атаки з оверлеєм, виконувати кейлоггерство, надавати віддалений доступ до пристрою та здійснювати «приховані» операції.
Спочатку вірус завантажується через дропер, що обходить обмеження ОС Android 13 і новіших версій. Після інсталяції ПЗ запитує активацію Accessibility Service, і, отримавши дозвіл, з’єднується з сервером управління.
Crocodilus функціонує безперервно, відстежуючи запуски цільових програм і демонструючи оверлеї для перехоплення облікових даних. Як тільки користувач вводить пароль або PIN-код криптогаманця, він отримує повідомлення про необхідність створення резервної копії приватного ключа. Використовуючи цю інформацію, зловмисники можуть здобути повний контроль над додатком і вивести всі кошти.
Джерело: Threat Fabric.
Crocodilus фіксує всі дії, які виконує жертва, змінюючи текст на екрані, працюючи як кейлоггер. Однак троян також захоплює екран Google Authenticator, передаючи зловмисникам OTP-коди.
«Використовуючи вкрадені особисті та облікові дані, зловмисники можуть отримати повний контроль над пристроєм жертви, завдяки вбудованому віддаленому доступу, виконуючи шахрайські транзакції без виявлення», — підкреслили експерти Threat Fabric.
Crocodilus може демонструвати чорний екран і вимикати звук під час роботи додатків, щоб дії шахраїв на пристрої залишалися непомітними для користувача.
Фахівці зазначили, що троян навіть у своїх початкових версіях показує «рівень зрілості, нетиповий для недавно виявлених загроз».
«Crocodilus, вже помічений в атаках на банки в Іспанії та Туреччині, а також на популярні криптовалютні гаманці, явно створений для полювання за дорогими активами», — додали вони.
Нагадаємо, що нещодавно експерти попередили про заражене програмне забезпечення TradingView Premium.
Arabic
Azerbaijani
Chinese (Simplified)
English
Estonian
French
Georgian
German
Italian
Kazakh
Latvian
Polish
Portuguese
Slovenian
Spanish
Turkish
Ukrainian
Uzbek