Kako navodi holandska kompanija ThreatFabric, ovaj malver je značajno unapređen ne samo u pogledu prikrivanja tragova i izbjegavanja detekcije, već i kroz nove funkcije, poput automatskog dodavanja kontakata u imenik žrtve.
ThreatFabric upozorava na sve više kampanja koje ciljaju korisnike u evropskim zemljama, „dok se postojeće operacije u Turskoj nastavljaju i dodatno šire prema Južnoj Americi“.
Crocodilus je prvi put otkriven u martu 2025. godine, kada se širio makiran u legitimne aplikacije poput Google Chrome-a, prvenstveno ciljajući korisnike u Španiji i Turskoj. Po instalaciji, malver komunicira sa eksternim serverom kako bi preuzeo spisak najčešće finansijskih aplikacija – i koristi ga za krađu pristupnih podataka.
Takođe, malver zloupotrebljava dozvolu za usluge pristupačnosti kako bi bilježio „seed“ fraze kripto-novčanika, što mu omogućava krađu digitalnih sredstava direktno iz korisničkih novčanika.
Nova otkrića pokazuju da se Crocodilus brzo širi i van Evrope – sve do Latinske Amerike, Indije, Indonezije i SAD – uz stalno uvođenje novih funkcionalnosti, što jasno ukazuje da iza njega stoji dobro organizovan tim.
U nekim slučajevima, distribucija malvera se odvija putem lažnih Facebook oglasa koji imitiraju banke ili platforme zaa e-trgovinu. Korisnici bivaju namamljeni da preuzmu aplikaciju u zamjenu za „bonus poene“, a zapravo se preusmjeravaju na sajt napadača koji isporučuje instalacioni fajl trojanca.
U drugim kampanjama, Crocodilus se predstavlja kao ažuriranje za veb pregledače ili aplikacija za onlajn kazino.
Posebno zabrinjava nova funkcija pomoću koje napadač može – uz komandu „TRU9MMRHBCRO“ – da dodaje kontakt u imenik žrtve, najčešće pod imenom „Korisnička podrška“ ili „Banka“. Cilj je da se žrtva telefonski kontaktira na način koji djeluje legitimno, čime se povećava vjerovatnoća uspješne prevare, uprkos Google-ovim novim bezbjednosnim upozorenjima na moguće prevare prilikom pokretanja aplikacija banaka tokom sesije dijeljenja ekrana sa nepoznatim kontaktom.
Još jedna novina je alat za automatsko prikupljanje seed fraza i privatnih ključeva određenih kripto-novčanika, čime se direktno cilja virtuelna imovina korisnika.
– Ove najnovije kampanje jasno ukazuju da Crocodilus više nije reginalna prijetnja i da je malver sada proširio svoj domet na nova geografska područja, što ukazuje da on postaje istinska globalna prijetnja – zaključuje ThreatFabric, piše Informacija.
Najnovije vijesti Srpskainfo i na Viberu