Semakin banyak kampanye jahat telah memanfaatkan perbankan Android yang baru -baru ini ditemukan, Trojan bernama Crocodilus untuk menargetkan pengguna di Eropa dan Amerika Selatan.
Malware, menurut sebuah laporan baru yang diterbitkan oleh Ancamanfabric, juga telah mengadopsi peningkatan teknik kebingungan untuk menghambat analisis dan deteksi, dan mencakup kemampuan untuk membuat kontak baru dalam daftar kontak korban.
“Kegiatan baru -baru ini mengungkapkan banyak kampanye yang sekarang menargetkan negara -negara Eropa sambil melanjutkan kampanye Turki dan berkembang secara global ke Amerika Selatan,” kata perusahaan keamanan Belanda itu.
Crocodilus pertama kali didokumentasikan pada bulan Maret 2025 sebagai menargetkan pengguna perangkat Android di Spanyol dan Turki dengan menyamar sebagai aplikasi yang sah seperti Google Chrome. Malware dilengkapi dengan kemampuan untuk meluncurkan serangan overlay terhadap daftar aplikasi keuangan yang diambil dari server eksternal untuk memanen kredensial.
Ini juga menyalahgunakan izin layanan aksesibilitas untuk menangkap frasa benih yang terkait dengan dompet cryptocurrency, yang kemudian dapat digunakan untuk menguras aset virtual yang disimpan di dalamnya.
Temuan terbaru dari ancaman Fabric menunjukkan perluasan ruang lingkup geografis malware serta pengembangan yang berkelanjutan dengan peningkatan dan fitur baru, menunjukkan bahwa itu sedang dikelola secara aktif oleh operator.
Kampanye tertentu yang ditujukan untuk Polandia telah ditemukan untuk memanfaatkan iklan palsu di Facebook sebagai vektor distribusi dengan meniru bank dan platform e-commerce. Iklan ini memikat para korban untuk mengunduh aplikasi untuk mengklaim poin bonus yang seharusnya. Pengguna yang mencoba mengunduh aplikasi diarahkan ke situs jahat yang memberikan crocodilus dropper.
Gelombang serangan lain yang menargetkan pengguna Spanyol dan Turki telah menyamarkan diri sebagai pembaruan browser web dan kasino online. Argentina, Brasil, India, Indonesia, dan Amerika Serikat adalah di antara negara -negara lain yang telah dipilih oleh malware.
Selain menggabungkan berbagai teknik kebingungan untuk memperumit upaya rekayasa balik, varian baru Crocodilus memiliki kemampuan untuk menambahkan kontak tertentu ke daftar kontak korban setelah menerima perintah “tru9mmrhbcro.”
Diduga bahwa fitur ini dirancang sebagai penanggulangan untuk perlindungan keamanan baru yang telah diperkenalkan Google di Android yang memberi tahu pengguna penipuan yang mungkin saat meluncurkan aplikasi perbankan selama sesi berbagi layar dengan kontak yang tidak diketahui.
“Kami percaya niatnya adalah untuk menambahkan nomor telepon dengan nama yang meyakinkan seperti 'dukungan bank,' yang memungkinkan penyerang memanggil korban sambil tampil sah. Ini juga bisa melewati langkah -langkah pencegahan penipuan yang menandai angka yang tidak diketahui,” kata Ancrabric.
Fitur baru lainnya adalah pengumpul frase benih otomatis yang memanfaatkan parser untuk mengekstrak frasa benih dan kunci pribadi dari dompet cryptocurrency spesifik.
“Kampanye terbaru yang melibatkan Crocodilus Android Banking Trojan menandakan evolusi tentang kecanggihan teknis malware dan ruang lingkup operasionalnya,” kata perusahaan itu. “Khususnya, kampanyenya tidak lagi terbatas secara regional; malware telah memperluas jangkauannya ke wilayah geografis baru, menggarisbawahi transisi menjadi ancaman global yang benar -benar.”
