Троян Crocodilus крадёт одноразовые коды прямо из Google Authenticator

Исследователи в области кибербезопасности сообщили о появлении нового банковского вредоносного ПО для Android под названием Crocodilus, которое активно нацелено на пользователей в Испании и Турции. В отличие от большинства свежих угроз, Crocodilus сразу проявил себя как зрелое и технологически продвинутое вредоносное приложение.

По данным компании ThreatFabric, вредонос использует целый арсенал современных приёмов — от удалённого управления устройством до наложения фальшивых экранов и сбора конфиденциальной информации через механизмы доступности. Он способен полностью перехватывать управление над устройством и совершать финансовые операции без ведома владельца.

Особенность Crocodilus в том, что он маскируется под браузер Google Chrome, используя поддельное название пакета «quizzical.washbowl.calamity». Таким способом вредонос удаётся установить даже на устройства с Android 13 и выше, обходя встроенные механизмы защиты. После запуска приложение требует доступ к специальным возможностям устройства, что открывает ему широкие возможности для дальнейших атак.

Контакт с удалённым сервером позволяет загрузить список приложений для атак, получить HTML-шаблоны для кражи учётных данных и инструкции для взаимодействия с заражённым устройством. Помимо банковских приложений, Crocodilus также нацелен на криптовалютные кошельки. Вместо традиционного фальшивого входа, вредонос выводит на экран сообщение с призывом срочно сохранить seed-фразу, угрожая потерей доступа к активам. Пользователи, следуя инструкции, сами открывают нужный экран, что позволяет вредоносу похитить критические данные через доступность.

Crocodilus не просто фиксирует нажатия клавиш или открытые приложения. Он отслеживает все события, происходящие на экране, и может делать скриншоты — даже в таких защищённых приложениях, как Google Authenticator. Это делает возможным перехват кодов двухфакторной аутентификации.

Чтобы замаскировать свою активность, вредонос способен запускать чёрный экран, отключать звук и скрывать визуальные следы. Всё это снижает шанс обнаружения со стороны пользователя. Среди функциональных возможностей — запуск указанных приложений, рассылка SMS контактам, сбор списка установленных программ, отправка push-уведомлений, получение SMS-сообщений, а также назначение себя менеджером сообщений по умолчанию.

Кроме того, вредонос может запросить права администратора, отключить звук, активировать логирование нажатий клавиш, обновлять настройки серверов управления и удалять себя с устройства после завершения операций.

Выводы ThreatFabric подчёркивают, что Crocodilus представляет собой не просто новое вредоносное ПО, а полноценную и зрелую угрозу с возможностями, характерными скорее для давно действующих троянов. Высокий уровень исполнения и продуманность механик говорят о том, что разработчик хорошо разбирается в мобильной безопасности. Исходный код и отладочные сообщения свидетельствуют о том, что автор говорит по-турецки, что может указывать на географическое происхождение угрозы.

Появление Crocodilus совпало с другой активной кампанией по распространению банковского трояна Grandoreiro через фишинговые письма с налоговыми приманками. Эта кампания, ориентированная на пользователей Windows в Мексике, Аргентине и Испании, использует обфусцированные скрипты на Visual Basic для доставки вредоносного кода, демонстрируя, что атаки на банковские системы продолжают развиваться параллельно как на мобильных, так и на настольных платформах.