تعداد فزایندهای از کمپینهای مخرب از یک تروجان بانکی اندرویدی که بهتازگی کشف شده و Crocodilus نام دارد، سوءاستفاده کردهاند تا کاربران در اروپا و آمریکای جنوبی را هدف قرار دهند.
طبق گزارشی جدید از شرکت امنیتی ThreatFabric، این بدافزار تکنیکهای پنهانسازی (obfuscation) پیشرفتهتری را برای دشوار کردن تحلیل و شناسایی به کار گرفته و همچنین قابلیت افزودن مخاطب جدید به فهرست تماسهای قربانی را نیز داراست.
این شرکت هلندی اعلام کرد: «فعالیتهای اخیر نشان میدهد که چندین کمپین هماکنون کشورهای اروپایی را هدف قرار دادهاند، در حالی که حملات در ترکیه نیز ادامه دارد و دامنه فعالیت بدافزار به آمریکای جنوبی نیز گسترش یافته است.»
Crocodilus نخستینبار در مارس ۲۰۲۵ بهطور عمومی مستندسازی شد؛ این بدافزار کاربران دستگاههای اندرویدی در اسپانیا و ترکیه را با جعل خود بهعنوان اپلیکیشنهای معتبری مانند Google Chrome هدف قرار میداد. این بدافزار با قابلیت اجرای حملات پوششی (overlay attacks) علیه فهرستی از اپهای مالی که از سرور خارجی دریافت میکند، جهت سرقت اطلاعات ورود (credentials) تجهیز شده است.
همچنین با سوءاستفاده از دسترسی به سرویسهای دسترسیپذیری (accessibility services)، عبارتهای بازیابی (seed phrase) مرتبط با کیفپولهای رمزارز را استخراج کرده و از آنها برای تخلیه داراییهای دیجیتال استفاده میکند.
یافتههای جدید ThreatFabric نشاندهنده گسترش دامنه جغرافیایی این بدافزار و نیز توسعه مداوم آن با قابلیتها و ویژگیهای تازه است که حاکی از نگهداری فعال آن توسط عاملانش میباشد.
در برخی کمپینها که لهستان را هدف قرار دادهاند، از تبلیغات جعلی در فیسبوک بهعنوان کانال توزیع استفاده شده است. این تبلیغات با جعل نام بانکها و پلتفرمهای تجارت الکترونیک، کاربران را به دانلود اپلیکیشنی برای دریافت امتیازهای پاداشی فریب میدهند. قربانیان پس از تلاش برای دانلود اپلیکیشن، به سایتی مخرب هدایت میشوند که فایل آلوده Crocodilus را تحویل میدهد.
در دیگر موجهای حملاتی که کاربران اسپانیایی و ترکیهای را هدف قرار دادهاند، بدافزار خود را بهعنوان بهروزرسانی مرورگر یا اپلیکیشن کازینوی آنلاین معرفی کرده است. کشورهای آرژانتین، برزیل، هند، اندونزی و ایالات متحده نیز از جمله دیگر اهداف این بدافزار هستند.
افزون بر استفاده از تکنیکهای متنوع پنهانسازی برای دشوار کردن فرآیند مهندسی معکوس، نسخههای جدید Crocodilus قابلیتی دارند که بهمحض دریافت دستور خاصی با عنوان “TRU9MMRHBCRO”، مخاطبی مشخص را به فهرست تماسهای قربانی اضافه میکنند.
گمان میرود این قابلیت بهعنوان راهکاری برای دور زدن تدابیر امنیتی جدید گوگل طراحی شده باشد؛ این تدابیر هنگام اجرای اپلیکیشنهای بانکی در جلسات اشتراکگذاری صفحه با مخاطبی ناشناس، به کاربر هشدار میدهند.
ThreatFabric در اینباره اعلام کرد: «ما بر این باوریم که هدف، افزودن شمارهای با نامی متقاعدکننده مانند ‘پشتیبانی بانک’ است تا مهاجم بتواند با ظاهری مشروع با قربانی تماس بگیرد. این کار همچنین میتواند از شناسایی شمارههای ناشناس توسط سامانههای جلوگیری از تقلب جلوگیری کند.»
ویژگی تازه دیگر، جمعآوری خودکار seed phraseها است که با استفاده از یک parser، عبارتهای بازیابی و کلیدهای خصوصی کیفپولهای رمزارزی خاص را استخراج میکند.
این شرکت در پایان افزود: «کمپینهای اخیر مرتبط با تروجان بانکی Crocodilus برای اندروید، نشان از تکامل نگرانکنندهای در سطح فنی بدافزار و دامنه عملیاتی آن دارد. نکته قابل توجه این است که دیگر کمپینها به یک منطقه خاص محدود نیستند؛ این بدافزار اکنون به تهدیدی جهانی تبدیل شده است.»
منبع: https://thehackernews.com/2025/06/android-trojan-crocodilus-now-active-in.html
