В последней версии вредоносной программы Crocodilus для Android появился новый механизм, который добавляет поддельный контакт в список контактов зараженного устройства, чтобы обмануть жертв при получении звонков от исполнителей угроз.
Эта функция была представлена вместе с несколькими другими, в основном направленными на уклонение, улучшениями, поскольку вредоносная программа, похоже, расширила сферу своего воздействия по всему миру.
Crocodilus выходит на международный уровень
Впервые вредоносная программа была задокументирована исследователями Threat Fabric в конце марта 2025 года, которые обратили внимание на ее широкие возможности по краже данных и удаленному управлению.
В то время Crocodilus был замечен лишь в нескольких небольших кампаниях в Турции.
Теперь ситуация изменилась, сообщает Threat Fabric, которая продолжила мониторинг вредоносной программы и заметила, что Crocodilus распространил свою целевую аудиторию на все континенты.
В то же время в последних версиях улучшена защита от атак за счет упаковки кода в компоненте дроппера и дополнительного уровня XOR-шифрования полезной нагрузки.
Аналитики также заметили свертывание и запутывание кода, что усложняет обратную разработку вредоносного ПО.
Еще одним дополнением стала система анализа украденных данных на локальном уровне зараженного устройства перед передачей их угрожающему субъекту для более качественного сбора информации.
Поддельные контакты
Примечательной особенностью последней версии вредоносной программы Crocodilus является возможность добавления фальшивых контактов на устройство жертвы. В этом случае при входящем звонке устройство будет отображать имя, указанное в профиле контактов абонента, а не его идентификатор.
Это позволяет злоумышленникам выдавать себя за доверенные банки, компании или даже друзей и членов семьи, чтобы звонки выглядели более достоверными.
Данное действие выполняется при подаче определенной команды, которая запускает следующий код для программного (с использованием ContentProvider API) создания нового локального контакта на Android-устройстве.
«Получив команду «TRU9MMRHBCRO», Crocodilus добавляет указанный контакт в список контактов жертвы»
- поясняет Threat Fabric в своем отчете
«Это еще больше усиливает контроль злоумышленника над устройством. Мы полагаем, что целью является добавление телефонного номера под убедительным именем, например «Служба поддержки банка», что позволяет злоумышленнику звонить жертве, представляясь легитимным».
Неавторизованный контакт не привязан к учетной записи Google пользователя, поэтому он не будет синхронизирован с другими устройствами, на которых он зарегистрирован.
Crocodilus быстро развивается и демонстрирует склонность к социальной инженерии, что делает его особенно опасным вредоносным ПО.
Пользователям Android рекомендуется при загрузке программ для своих устройств придерживаться Google Play или проверенных издателей, следить за тем, чтобы Play Protect всегда был активен, и свести количество используемых приложений к минимуму.
Комментарии (0)