Мобилният зловреден софтуер Crocodilus продължава своята бърза еволюция и глобална експанзия, като въвежда нови техники за социално инженерство и избягване на засичане. Последната версия на този Android малуер включва механизъм за добавяне на фалшив контакт в адресната книга на заразеното устройство, с цел да заблуди жертвите при входящи обаждания.

От Турция към целия свят

Crocodilus беше документиран за първи път от изследователите на Threat Fabric през март 2025 г., когато беше засечен в ограничени кампании, предимно в Турция. Първоначалните му версии показаха способност за кражба на данни, дистанционен контрол върху устройството и опростени опити за измама, като съобщения, които настояват потребителят да „архивира“ своя крипто портфейл до 12 часа.

Към май 2025 г. Crocodilus вече оперира глобално, като атаките му са регистрирани на всички континенти, показвайки ясна тенденция към разрастване и професионализация.

Технически подобрения и защита от анализ

С развитието на зловредния код се въвеждат и редица усъвършенствания за укриване и усложняване на анализа, включително:

• Обфускиране и компактиране на кода на основния дропър

• Допълнителен слой XOR криптиране за основния payload

• Локален анализ на откраднатите данни преди да бъдат изпратени към сървърите на атакуващия, с цел повишено качество и релевантност на информацията

Фалшиви контакти: Новата социална измама

Най-новата функционалност на Crocodilus е добавяне на фалшив контакт в адресната книга на заразеното Android устройство. Това се реализира чрез ContentProvider API, като зловредният код автоматично въвежда нов запис с име и телефонен номер.

Пример: Добавя се контакт с име „Bank Support“ и реален номер на атакуващия. При входящо повикване от този номер, устройството показва името от контактната книга, а не реалния номер.

Така жертвата остава с впечатление, че получава обаждане от легитимен източник — банка, институция или дори познат човек. Контактът не се синхронизира с Google акаунта и остава само на локалното устройство, което затруднява откриването му.

Застрашени ли сме?

Развитието на Crocodilus подчертава тенденцията към все по-усъвършенствани и психологически насочени атаки срещу потребителите. Вместо да разчита само на технически уязвимости, зловредният софтуер залага на социално инженерство и поведенчески трикове, което го прави особено опасен.

„Crocodilus демонстрира ясно разбиране за човешкия фактор в сигурността – основната слабост, която се експлоатира,“ отбелязват експертите от Threat Fabric.

Как да се предпазим?

• Използвайте само Google Play или проверени източници за инсталиране на приложения

• Активирайте Google Play Protect и не деактивирайте системни защити

• Проверявайте контактите си и бъдете подозрителни към нови, непознати записи

• Не вярвайте автоматично на показаното име при входящо обаждане – винаги сверявайте номера ръчно

• Ограничете броя на инсталираните приложения до най-необходимите