Újra felpörgette magát a Crocodilus néven ismert androidos trójai, amely új kampányok segítségével szerte Európában és Dél-Amerikában próbál adatokat és tőkét lopni kriptós felhasználóktól és banki ügyfelektől. Először 2025 márciusában észlelték a programot Törökországban, ahol online kaszinóalkalmazásoknak vagy banki alkalmazásoknak mutatta magát, hogy aztán ellopja a bejelentkezési adatokat. A ThreatFabric Mobile Threat Intelligence (MTI) csapatának adatai szerint a legújabb kampányban a trójai most már Lengyelországban, Spanyolországban, Argentínában, Brazíliában, Indonéziában, Indiában és az Egyesült Államokban is célpontokat támad.
Egy lengyel felhasználókat célzó kampány Facebook-hirdetéseket használt fel hamis hűségprogramok népszerűsítésére. A hirdetésre kattintva a felhasználókat rosszindulatú webhelyekre irányították át, ahonnan olyan Crocodilus droppert telepítettek az eszközökre, amely megkerüli az Android 13+ korlátozásokat. A Facebook adataiból kiderült, hogy ezek a hirdetések mindössze egy-két óra alatt több ezer felhasználót értek el, és a 35 év feletti közönségre összpontosítottak.
A Crocodilus új verziója jelentősen fejlettebb
A telepítést követően a Crocodilus hamis bejelentkezési oldalakat helyez el a legitim banki és kriptoalkalmazásokon. Spanyolországban böngészőfrissítésnek álcázta magát, és szinte minden nagyobb bankot megcélzott. A földrajzi terjeszkedésen túl a Crocodilus új képességekkel bővült. Az egyik figyelemre méltó frissítés a fertőzött eszközök névjegyzékének módosítására való képesség, amely lehetővé teszi a támadók számára, hogy „Banki támogatás” nevű telefonszámokat tegyenek be a névjegyzékbe. Ezeket aztán más típusú támadásokban is felhasználhatják.
Egy másik kulcsfontosságú fejlesztés egy automatizált helyreállítási kulcsgyűjtő, amely a kriptotárcákat célozza meg. A Crocodilus kártevő nagy pontossággal képes begyűjteni a helyreállítási és a privát kulcsokat, így a támadók előre feldolgozott adatokat kapnak a gyors akcióhoz. A fejlesztők még komolyabb titkosítást is fejlesztettek a Crocodilushoz. A legújabb változat csomagolt kódot, további XOR-titkosítást és szándékosan bonyolult logikát tartalmaz, hogy ellenálljon a visszafejtésnek. Egy április 22-i jelentésében az AMLBot kriptobiztonsági cég feltárta, hogy a drainerek, azaz a kriptovaluták ellopására tervezett rosszindulatú programok még könnyebben hozzáférhetővé váltak, ahogy az ökoszisztéma igazi üzleti modellé fejlődik. Ma már 100-300 USDT árért lehet egy ilyen programot szerezni. Ráadásként egyes kriptós projektekben olyan sebezhetőségek vannak, amelyek még könnyebbé teszik a kriptók ellopását.
