Een groeiend aantal kwaadaardige campagnes heeft een recent ontdekte Android Banking Trojan genaamd Crocodilus genaamd om gebruikers in Europa en Zuid -Amerika te richten.
De malware, volgens een nieuw rapport gepubliceerd door ThreatFabric, heeft ook verbeterde obfuscatietechnieken aangenomen om analyse en detectie te belemmeren en omvat de mogelijkheid om nieuwe contacten te maken in de lijst met contacten van de slachtoffer.
“Recente activiteiten blijkt uit meerdere campagnes die zich nu richten op Europese landen, terwijl ze Turkse campagnes voortzetten en globaal uitbreiden naar Zuid -Amerika,” zei het Nederlandse beveiligingsbedrijf.
Crocodilus werd in maart 2025 voor het eerst gedocumenteerd als gebruikers van Android Device -gebruikers in Spanje en Turkije door zich voor te doen als legitieme apps zoals Google Chrome. De malware is uitgerust met mogelijkheden om overlayaanvallen te lanceren op een lijst met financiële apps die zijn opgehaald uit een externe server om inloggegevens te oogsten.
Het misbruikt ook machtigingen van toegankelijkheidsdiensten om zaadzinnen te vangen die zijn geassocieerd met cryptocurrency -portefeuilles, die vervolgens kunnen worden gebruikt om virtuele activa daarin af te voeren.
De nieuwste bevindingen van ThreatFabric tonen een uitbreiding van de geografische reikwijdte van de malware, evenals voortdurende ontwikkeling met verbeteringen en nieuwe functies, wat aangeeft dat het actief wordt onderhouden door de operators.
Selecteercampagnes gericht op Polen zijn gevonden om nepadvertenties op Facebook te benutten als distributievector door banken en e-commerceplatforms na te bootsen. Deze advertenties lokken slachtoffers om een app te downloaden om veronderstelde bonuspunten te claimen. Gebruikers die proberen de app te downloaden, worden gericht op een kwaadwillende site die de Crocodilus -druppelaar levert.
Andere aanvalsgolven gericht op Spaanse en Turkse gebruikers hebben zichzelf vermomd als een update van de webbrowser en een online casino. Argentinië, Brazilië, India, Indonesië en de Verenigde Staten behoren tot de andere landen die door de malware zijn uitgekozen.
Naast het opnemen van verschillende obfuscatietechnieken om reverse engineering -inspanningen te compliceren, hebben nieuwe varianten van Crocodilus de mogelijkheid om een gespecificeerd contact toe te voegen aan de contactlijst van het slachtoffer bij het ontvangen van het opdracht “Tru9mmrhbcro”.
Er wordt vermoed dat de functie is ontworpen als een tegenmaatregel voor nieuwe beveiligingsbescherming die Google in Android heeft geïntroduceerd die gebruikers waarschuwt voor mogelijke oplichting bij het starten van bank-apps tijdens een screendelingsessie met een onbekend contact.
“Wij zijn van mening dat de bedoeling is om een telefoonnummer toe te voegen onder een overtuigende naam zoals ‘Bank Support’, waardoor de aanvaller het slachtoffer kan bellen terwijl hij legitiem lijkt. Dit kan ook omzeilen van fraudepreventiemaatregelen die onbekende cijfers markeren,” zei ThreatFabric.
Een andere nieuwe functie is een geautomatiseerde zaadzincollector die gebruik maakt van een parser om zaadzinnen en privésleutels van specifieke cryptocurrency -portefeuilles te extraheren.
“De nieuwste campagnes met betrekking tot de Crocodilus Android Banking Trojan signaleren een betreffende evolutie in zowel de technische verfijning van de malware als de operationele reikwijdte,” zei het bedrijf. “Met name zijn de campagnes niet langer regionaal beperkt; de malware heeft zijn bereik uitgebreid naar nieuwe geografische gebieden, waardoor zijn overgang naar een echt wereldwijde dreiging wordt onderstreept.”
