В новой версии банковской малвари Crocodilus появился механизм, который добавляет фальшивый контакт на зараженное устройство. Это позволяет обманывать жертв, когда они получают звонки от злоумышленников.
Впервые банкер Crocodilus был обнаружен исследователями компании Threat Fabric в конце марта 2025 года. Тогда специалисты рассказывали, что малварь вынуждает пользователей предоставлять seed-фразы для криптовалютных кошельков (якобы ради создания резервной копии), а также обладает возможностями по перехвату контроля над устройством, сбору данных и удаленному управлению.
Весной Crocodilus атаковал пользователей из Турции и Испании, однако теперь ситуация изменилась. Threat Fabric, продолжающая следить за активностью малвари, утверждает, что Crocodilus уже расширил область своих атак на все континенты.
В новых версиях малвари было улучшено уклонение от обнаружения за счет упаковки кода в компоненте дроппера и дополнительного уровня XOR-шифрования для полезной нагрузки. Также аналитики заметили, что код вредоноса был обфусцирован и усложнен, что затрудняет его реверс-инжиниринг.
Еще одним новшеством стала система, позволяющая анализировать украденные у жертвы данные локально, на самом зараженном устройстве, прежде чем они будут отправлены злоумышленникам для более тщательного изучения.
Самой примечательной особенностью последней версии Crocodilus стала возможность добавления фальшивых контактов на устройство жертвы. В этом случае при входящем звонке отобразится имя, указанное в профиле контакта, а не его ID. Этот трюк позволяет злоумышленникам выдавать себя за известные банковские учреждения, компании или даже друзей и членов семьи пользователя.
Добавление новых контактов осуществляется путем выполнения специальной команды, которая задействует ContentProvider API для создания нового локального контакта на устройстве.
«Получив команду TRU9MMRHBCRO, Crocodilus добавляет указанный контакт в список контактов жертвы. Это еще больше усиливает контроль злоумышленника над зараженным устройством. Мы полагаем, что целью является добавление номера с убедительным именем вроде “Служба поддержки банка”, чтобы потом звонить жертве и не вызывать подозрений», — пишут исследователи.
При этом фальшивый контакт не привязан к учетной записи Google, поэтому он не будет синхронизирован с другими устройствами.
Исследователи предупреждают, что Crocodilus быстро эволюционирует и явно развивается в направлении, связанном с социальной инженерией, что делает его особенно опасным.
