Вирус Crocodilus опустошает мобильные криптокошельки на Android

Crocodilus, впервые зафиксированный специалистами по мобильным угрозам в начале 2025 года, превратился в мощный инструмент для перехвата полного дистанционного контроля над смартфоном. После установки приложения и выдачи ему доступа через Accessibility Services вирус может наблюдать за экраном, фиксировать текстовые изменения, отображать ложные окна резервных копий криптокошельков и даже выводить чёрный экран, скрывая фоновые операции. В результате под угрозой оказываются не только банковские клиенты, но и пользователи DeFi, хранящие активы в горячих кошельках на Android.

Механика Crocodilus типична для продвинутых Android-троянов: через дроппер, который пролезает мимо истемных ограничений, на смартфон попадает приложение и запрашивает доступ к корневым функциям. После получения прав троян связывается с командномым сервером и загружает целевые приложения — от мобильных банков до бирж и криптокошельков. Когда жертва открывает кошелёк, вредонос моментально накладывает реалистичный overlay с запросом «повторно введите seed» или «сохраните резервную копию», и поскольку ввод виден Accessibility-логгеру, фраза уходит прямо злоумышленникам.

Этот троян — не просто инструмент для кражи фраз: он регистрирует ввод через Accessibility-логи, собирает данные контактов и SMS, получает живые инструкции от оператора и может перевести телефон в режим, где пользователь видит только чёрный экран и не слышит оповещений, в то время как на устройстве выполняются фоновые транзакции. Исследователи называют такое сочетание «захват устройства + экранные накладки» признаком «высокоразвитой» функциональности у семейства, впервые появившегося в марте 2025 года (первые вспышки — Испания, Турция) и позже распространённого в Южной Америке и ряде стран Азии.

Перехват seed-фразы или приватных ключей даёт злоумышленнику полный доступ: фраза импортируется на «чистый» девайс и активы моментально выводятся. Аналогично, скомпрометированные учётки и 2FA-коды открывают путь к биржевым аккаунтам и их очищению. При активной удалённой сессии на телефоне Crocodilus может самостоятельно подтверждать свопы и подписывать TX, а пользователь остаётся в неведении из-за отключённых уведомлений. Часто первая индикация — это уже видимые on-chain списания; недавние инциденты оценили потери одной волны заражений свыше $2.8 млн в течение нескольких недель.

Специалисты указывают, что Crocodilus не полагается на один метод заражения. Некоторые шпионские сборки маскировались под обновления и клонированные финансовые аппки; другие распространялись с помощью фишинговых сайтов, предлагающих «Android client» под видом ускорителя транзакций. Монетизация проста: получить Accessibility, читать экран, ждать открытия wallet и извлечь секрет. Благодаря модульной архитектуре троян подтягивает overlays с C2, что позволяет злоумышленникам добавлять новые wallet-метки и поддерживать актуальные DeFi-приложения без выкладки нового APK — отсюда высокая живучесть угрозы.