Злоумышленники распространяют среди пользователей Android по всему миру вредоносную программу Crocodilus, маскируя его под легальные приложения для доступа к банковским и криптовалютным счетам. Об этом пишет издание TechSpot.
Троян распространяется через рекламу в Facebook, поддельные обновления браузеров и фальшивые онлайн-казино. Случаи заражения часто фиксируют в Аргентине, Бразилии, США, Индонезии и Индии.
После установки троян начинает отслеживать действия пользователя в банковских приложениях. Когда пользователь открывает настоящее приложение, вирус подменяет экран входа на поддельный, получая доступ к логинам и паролям. Программа способна обходить защитные механизмы Android 13 и новее.
Обновлённая версия Crocodilus добавляет в список контактов поддельные номера, подписанные как «Служба поддержки банка», чтобы убедить пользователя ответить на мошеннический звонок. Это позволяет обходить встроенные предупреждения о подозрительных вызовах.
Вирус также применяет методы обфускации кода, включая шифрование XOR, чтобы избежать обнаружения и анализа. Он активно противостоит реверс-инжинирингу, используя сложную структуру программного кода.
Киберпреступники используют разные каналы для заражения устройств: фальшивые приложения, в том числе в Google Play, и даже вредоносное ПО, предустановленное на некоторых устройствах. Контактные данные с заражённого телефона могут использоваться для новых атак, а звонки в банки — перенаправляться в мошеннические колл-центры.
