Nowoczesny trojan, który przejmuje kontrolę nad urządzeniem
Jak ostrzega portal android.com.pl, Crocodilus to wyjątkowo niebezpieczne i zaawansowane technicznie złośliwe oprogramowanie. Zespół ThreatFabric, który monitoruje jego działalność od marca 2025 roku, podaje, że potrafi on przejąć niemal całkowitą kontrolę nad smartfonem ofiary.
Najgroźniejsze funkcje Crocodilusa to m.in.:
- Podmiana ekranów logowania w aplikacjach bankowych i portfelach kryptowalut – użytkownik nieświadomie wpisuje dane do fałszywego formularza.
- Przechwytywanie wiadomości SMS, w tym kodów autoryzacyjnych i jednorazowych haseł 2FA, co ułatwia przejęcie konta.
- Kradzież fraz seed z aplikacji kryptowalutowych – umożliwia przestępcom całkowite opróżnienie portfela.
- Manipulacja książką telefoniczną – malware może dodać np. kontakt o nazwie „Bank Support”, co pomaga w późniejszych atakach socjotechnicznych.
- Zdalna kontrola nad telefonem – złośliwy kod pozwala wysyłać SMS-y, przekierowywać połączenia, blokować ekran, a nawet ukrywać obecność wirusa przed użytkownikiem.
Crocodilus przedostał się już do Polski
Choć początki działalności Crocodilusa wiązano głównie z Turcją, obecnie zagrożenie jest globalne. Według danych ThreatFabric, w ostatnich miesiącach ataki odnotowano w Polsce, Hiszpanii, Argentynie, Brazylii, Indiach i USA. W naszym kraju malware najczęściej rozpowszechniany jest za pośrednictwem fałszywych reklam na Facebooku.
Ataki przebiegają według tego samego schematu: użytkownik widzi reklamę podszywającą się pod bankową aplikację lub znany sklep internetowy, obiecującą np. bonusy lub darmowe punkty. Kliknięcie w reklamę przenosi go na spreparowaną stronę, z której pobierany jest tzw. dropper – komponent odpowiedzialny za zainstalowanie właściwego złośliwego oprogramowania.
Według danych platformy Meta, każda z takich reklam potrafi wygenerować tysiące wyświetleń w ciągu kilku godzin, głównie wśród użytkowników powyżej 35. roku życia – czyli grupy najczęściej zarządzającej środkami na kontach bankowych i inwestujących w kryptowaluty.
Kampanie regionalne i globalne. Jak działa Crocodilus?
Pierwsze, najwcześniejsze kampanie Crocodilusa koncentrowały się na Turcji. Malware był tam wykorzystywany do ataków na użytkowników banków, kasyn online oraz aplikacji kryptowalutowych. W programie zdefiniowano mechanizmy automatycznie wykrywające uruchomienie lokalnych aplikacji finansowych – i nakładające na nie fałszywe strony logowania.
W Hiszpanii z kolei Crocodilus trafia do użytkowników za pomocą fałszywych aktualizacji przeglądarek internetowych. Lista celów obejmuje praktycznie wszystkie najważniejsze banki hiszpańskie.
Mimo że większość kampanii ma charakter regionalny, coraz częściej obserwuje się działania o szerszym zasięgu – z listami docelowymi obejmującymi aplikacje i serwisy z takich krajów jak USA, Brazylia, Argentyna, Indie i Indonezja. Wszystko wskazuje na to, że Crocodilus został zaprojektowany jako platforma do elastycznego prowadzenia ataków w różnych częściach świata.
Jak się chronić przed Crocodilusem?
Eksperci ds. bezpieczeństwa zalecają szczególną ostrożność podczas instalowania aplikacji spoza oficjalnych sklepów, a także ignorowanie reklam promujących podejrzane bonusy czy aplikacje bankowe.
Aby zminimalizować ryzyko infekcji:
- Nie klikaj w reklamy obiecujące nagrody pieniężne lub „darmowe punkty”.
- Nie pobieraj aplikacji z nieznanych źródeł – korzystaj wyłącznie z Google Play.
- Nie przyznawaj podejrzanym aplikacjom dostępu do funkcji ułatwień dostępu – to klucz do przejęcia kontroli nad telefonem.
- Zainstaluj sprawdzone oprogramowanie antywirusowe i aktualizuj system Android do najnowszej wersji.
Crocodilus to nie chwilowe zagrożenie
Obserwowany rozwój Crocodilusa pokazuje, że mamy do czynienia z trwałym i rozwijającym się zagrożeniem. Twórcy malware’u nieustannie pracują nad jego ulepszaniem – zarówno pod względem skuteczności, jak i odporności na wykrycie.
Dla użytkowników smartfonów z Androidem to sygnał ostrzegawczy: złośliwe oprogramowanie coraz częściej trafia tam, gdzie nikt się go nie spodziewa – w legalnie wyglądających reklamach, pod maską popularnych aplikacji, a nawet w fałszywych aktualizacjach. Warto zachować czujność – i nie klikać bez zastanowienia.
Opracował: Dawid Piątkowski, źródło: android.com.pl
