Изображение: recraft
Программный вирус Crocodilus, нацеленный на устройства под управлением Android, обзавёлся новой функцией — теперь он способен внедрять фиктивные контакты в адресную книгу заражённых смартфонов. Это позволяет мошенникам выдавать свои звонки за сообщения от банков, сервисных служб и знакомых, затрудняя распознавание угрозы.
Исследование, проведённое специалистами Threat Fabric, подтвердило, что Crocodilus развивается и становится всё опасные. Первые следы этой программы были зафиксированы в марте 2025 года, когда вирус использовался в небольших атаках на пользователей в Турции. Тогда же эксперты зафиксировали начальные приёмы социальной манипуляции — пользователю отображалось сообщение о «необходимости создать резервную копию» ключа от криптовалютного кошелька в течение 12 часов, после чего доступ к активам якобы становился невозможным.
С тех пор вредоносное ПО существенно эволюционировало и, как отметил коллектив Threat Fabric, вышло за пределы локальных кампаний, распространившись по всему миру. В последних версиях авторы Crocodilus реализовали продвинутые средства обхода защитных механизмов Android. Программа теперь использует дроппер для внедрения зашифрованной полезной нагрузки, применяя алгоритм XOR, а также запутывает собственный код, усложняя его анализ.
Помимо этого, эксперты Threat Fabric обратили внимание на появление у Crocodilus встроенного механизма локальной сортировки похищенных данных. Программа анализирует информацию до передачи злоумышленникам, отбирая те фрагменты, что имеют наибольшую ценность. Такой подход минимизирует цифровой «шум» и повышает эффективность кражи данных.
Одним из наиболее тревожных нововведений аналитики считают метод внедрения фальшивых записей в контактную книгу. После получения соответствующей команды Crocodilus использует Android-интерфейс ContentProvider для создания новых контактов с вымышленными именами. Это даёт возможность подменять отображаемую информацию при звонках — на экране жертвы появляется не номер, а знакомое имя, указанное в созданной записи.
Злоумышленники могут выдавать себя за представителей тех структур, которым пользователь доверяет: банков, операторов связи, социальных служб или даже родственников. Это значительно усложняет выявление угрозы и увеличивает шанс на успех мошеннического звонка.
По словам специалистов Threat Fabric, Crocodilus продолжает развиваться и обрастает всё новыми функциями, направленными на обход современных систем защиты и использование социальной инженерии. Противодействие подобным угрозам требует активного обновления антивирусных решений, систем поведенческого анализа и цифровой гигиены со стороны пользователей.
Оригинал публикации на сайте CISOCLUB: "Хакерское ПО Crocodilus маскирует звонки с поддельных номеров и выходит на глобальный уровень".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.