Trojan Crocodilus przejmuje portfele kryptowalutowe na Androidzie

Crocodilus, wykryty po raz pierwszy przez ekspertów bezpieczeństwa mobilnego na początku 2025 roku, szybko przekształcił się w jeden z najbardziej niebezpiecznych trojanów kontrolujących urządzenia z Androidem. Po otrzymaniu uprawnień w ramach Accessibility Services zyskuje możliwość obserwowania wszystkiego, co dzieje się na ekranie, zapisywania treści, podszywania się pod interfejs portfeli kryptowalutowych i ukrywania własnej aktywności za pomocą czarnego ekranu. Tym samym zagrożenie dotyka już nie tylko użytkowników bankowych aplikacji, ale też posiadaczy DeFi walletów, którzy trzymają środki w trybie online.

Architektura Crocodilusa jest klasyczna dla nowoczesnych trojanów Android: dropper instaluje aplikację, omijając ograniczenia systemu, po czym oprogramowanie prosi o pełny dostęp do usług systemowych. Kiedy użytkownik nada uprawnienia, wirus łączy się z serwerem C2 i pobiera listę docelowych aplikacji — banki, giełdy, portfele.

Jednak jego prawdziwa siła tkwi w złożoności działania. Crocodilus nie tylko kradnie frazy odzyskiwania – śledzi aktywność użytkownika, rejestruje klawisze, kopiuje kontakty i wiadomości, reaguje na komendy w czasie rzeczywistym i potrafi włączyć „czarny ekran”, który ukrywa wszystkie operacje finansowe wykonywane w tle. Eksperci zwracają uwagę, że takie połączenie funkcji to wyznacznik dojrzałej klasy złośliwego oprogramowania, które pojawiło się wiosną 2025 roku, najpierw w Hiszpanii i Turcji, a następnie rozprzestrzeniło się na Amerykę Południową i Azję.

Gdy atakujący pozyska seed phrase albo private key, może w pełni przejąć aktywa: fraza zostaje zaimportowana na nowy urząd, a środki błyskawicznie przelane. Podobnie skompromitowane loginy i kody 2FA dają dostęp do giełd i umożliwiają ich wyczyszczenie. Crocodilus, kontrolując telefon zdalnie, sam inicjuje i zatwierdza swapy oraz podpisuje TX, podczas gdy użytkownik pozostaje nieświadomy z powodu wyłączonych powiadomień. Pierwszym objawem są zwykle widoczne on-chain wypłaty; ostatnie przypadki przyniosły straty przekraczające 2,8 mln USD w ciągu kilku tygodni.

Eksperci mówią wprost: Crocodilus nie bazuje na jednym kanale infekcji. Niektóre z jego szpiegowskich kompilacji kamuflowano jako aktualizacje lub fałszywe aplikacje finansowe; inne rozsyłano przez phishingowe strony, które oferowały „Android client” pod przykrywką przyspieszacza transakcji. Schemat zarabiania jest trywialny: uzyskać uprawnienia Accessibility, czytać ekran, poczekać na otwarcie walleta i wydobyć sekret. Dzięki modułowej konstrukcji trojan pobiera overlays z C2, co pozwala operatorom dopisywać nowe wallet-tagi i obsługiwać aktualne DeFi-aplikacje bez wypuszczania nowego APK — stąd jego wysoka odporność i długie życie.