Новости
Исследователи голландской компании ThreatFabric сообщили о распространении нового банковского трояна для Android под названием Crocodilus. Вредоносная программа быстро развивается, получает новые функции и уже зафиксирована в Европе, Южной Америке и странах Азии.
В последней версии Crocodilus научился добавлять в адресную книгу жертвы поддельные контакты, маскирующиеся под службы поддержки банков. Это позволяет злоумышленникам звонить с номеров, которые система определяет как доверенные, и обманывать пользователей, представляясь сотрудниками банков. Такой подход также помогает обходить системы защиты, предупреждающие о звонках с неизвестных номеров.
По данным ThreatFabric, троян распространяется через вредоносные рекламные объявления в Facebook. Каждое из них остается в сети всего один-два часа, но собирает свыше тысячи просмотров, в основном среди пользователей старше 35 лет — вероятно, в расчете на более финансово устойчивую аудиторию. После нажатия на кнопку загрузки жертва перенаправляется на поддельный сайт, откуда устанавливается вредоносный загрузчик. Он способен обходить ограничения на установку приложений, действующие в Android 13 и более поздних версиях.
Crocodilus впервые был зафиксирован в марте 2024 года в рамках ограниченных тестовых атак, но с тех пор активно распространяется. В Польше он выдавал себя за мобильные приложения банков и онлайн-магазинов, в Турции — за онлайн-казино, в Испании — за обновление браузера, при этом маскируя фальшивыми экранами входа реальные банковские приложения. Кроме того, троян замечен в Аргентине, Бразилии, Индии, Индонезии и США. Исследователи подчеркивают, что техническая сложность Crocodilus и масштаб его распространения указывают на работу хорошо организованной группировки с серьезными ресурсами.
Crocodilus относится к числу банковских троянов — вредоносных программ, предназначенных для кражи конфиденциальной финансовой информации. Как правило, они используются для несанкционированного доступа к счетам, совершения транзакций от имени пользователя и вывода средств.
В сентябре 2023 года специалисты зафиксировали другую вредоносную программу для Android — Ajina Banker, которая распространялась в странах Центральной Азии под видом официальных финансовых и государственных приложений. В Бразилии исследователи ранее выявили троян Chavecloak, распространявшийся через PDF-файлы и крадущий банковские учетные данные.
Эксперты рекомендуют избегать установки приложений из непроверенных источников, не переходить по ссылкам из подозрительных рекламных объявлений и не доверять номерам, якобы принадлежащим банкам, без дополнительной проверки.