Новий варіант Android-трояна Crocodilus навчився підмінювати довірених абонентів, додаючи фейкові записи до контактної книги жертви. Таким чином зловмисники можуть видавати себе за «службу підтримки банку» й підвищувати шанси на успішне шахрайство.
Новий варіант Android-трояна Crocodilus навчився підмінювати довірених абонентів, додаючи фейкові записи до контактної книги жертви. Таким чином зловмисники можуть видавати себе за «службу підтримки банку» й підвищувати шанси на успішне шахрайство.
Як повідомляє Bleeping Computer, дослідники компанії Threat Fabric зафіксували оновлену версію мобільного трояна Crocodilus, який став ще підступнішим. Головне нововведення — здатність додавати нові записи у список контактів користувача, що дозволяє зловмисникам дзвонити жертві нібито від імені «банківської підтримки» чи іншої авторитетної структури.
За словами експертів, нова функція активується спеціальною командою — «TRU9MMRHBCRO», після чого на зараженому пристрої створюється контакт із заданим ім’ям і номером. Це дає змогу атакуючим обходити антифрод-системи, які зазвичай ігнорують дзвінки з невідомих номерів.
Crocodilus був вперше виявлений у березні 2025 року та відтоді зазнав кількох хвиль оновлень. Попри складність технічної реалізації, експерти наголошують, що користувачі можуть суттєво знизити ризик зараження, уникаючи сторонніх джерел програм, перевіряючи відгуки, репутацію розробника і кількість завантажень навіть у Google Play.
Крім цього, Crocodilus продовжує використовувати набір класичних тактик: накладення фальшивих вікон поверх легітимних додатків, кейлогінг, і зловживання Службами доступності Android. Метою залишаються банківські акаунти, криптовалютні гаманці й особисті дані користувачів.
Наразі троян вийшов за межі первинної цілі — Туреччини й демонструє активність у глобальному масштабі. Зловмисники поширюють його через фейкові додатки у неофіційних сторах, соцмережах і електронній пошті.
Нещодавно ми також писали про те, як кіберзлочинці навчилися використовувати покинуті інтернет-ресурси відомих компаній для запуску фішингових кампаній і поширення шкідливого ПЗ. Жертвами вже стали субдомени Bose, Panasonic, Deloitte і навіть Центру з контролю та профілактики захворювань США.
