Вредонос Crocodilus нацелен на владельцев криптокошельков в Android

Для Android-устройств появилась новая угроза — вредоносное ПО под названием Crocodilus. Эта программа незаметно охотится за фразами восстановления криптокошельков, маскируясь под уведомление о необходимости создания резервной копии данных. Пользователю предлагается «срочно сохранить ключ», иначе он рискует лишиться доступа к своим активам.
Несмотря на недавнее появление, Crocodilus уже проявил себя как полноценный инструмент для захвата управления устройством, сбора конфиденциальной информации и выполнения команд на расстоянии.
По данным специалистов ThreatFabric, вредонос попадает на смартфоны при помощи продуманного дроппера, обходящего встроенные механизмы защиты Android, начиная с версии 13.
Этот дроппер умело минует Play Protect и снимает ограничения, установленные для службы специальных возможностей. После проникновения на устройство начинается активная фаза атаки, при которой используется социальное давление. На экран выводится сообщение, имитирующее системное уведомление с указанием на срочную необходимость «сохранить начальную фразу в настройках». Временное ограничение — 12 часов — добавляет ощущения срочности.
В этот момент и происходит главная уловка. Под влиянием тревожного предупреждения пользователь открывает раздел с фразой восстановления, где Crocodilus запускает механизм перехвата текста. Используется доступ к службе, предназначенной для помощи людям с ограничениями по зрению или моторике. Через неё вредонос отслеживает ввод текста, перемещения по экрану и поведение пользователя в приложениях.
Получив эти данные, злоумышленники легко получают полный доступ к кошельку и в кратчайшие сроки выводят все цифровые средства.
На сегодняшний день зафиксированы случаи использования Crocodilus в Испании и Турции. Жертвами становились не только владельцы криптовалют, но и клиенты банков, расположенных в этих странах. По техническим деталям вредоноса и особенностям его кода можно предположить, что он создан турецкоговорящими разработчиками.
Точная схема проникновения остаётся под вопросом, но известно, что дропперы распространяются через вредоносные веб-страницы, ложные промоакции в соцсетях, сообщения в мессенджерах и сторонние площадки для загрузки приложений.
Как только вредонос запускается, он запрашивает разрешения, предназначенные для помощи людям с особыми потребностями. С их помощью Crocodilus получает возможность наблюдать за действиями пользователя, управлять интерфейсом, запускать сторонние приложения и взаимодействовать с экраном.



