Вірус Crocodilus спустошує мобільні криптогаманці на Android

Crocodilus, вперше зафіксований фахівцями з мобільних загроз на початку 2025 року, перетворився на потужний інструмент для перехоплення повного дистанційного контролю над смартфоном. Після встановлення додатка і надання йому доступу через Accessibility Services вірус може спостерігати за екраном, фіксувати текстові зміни, відображати фальшиві вікна резервних копій криптогаманців і навіть виводити чорний екран, приховуючи фонові операції. В результаті під загрозою опиняються не тільки банківські клієнти, але і користувачі DeFi, які зберігають активи в гарячих гаманцях на Android.

Механіка Crocodilus типова для потужних Android-троянів: через дроппер, який пролізає повз системні обмеження, на смартфон потрапляє додаток і запитує доступ до кореневих функцій. Після отримання прав троян зв’язується з командним сервером і завантажує цільові додатки — від мобільних банків до бірж і криптогаманців. 

Цей троян — не просто інструмент для крадіжки фраз: він реєструє введення через Accessibility-логи, збирає дані контактів і SMS, отримує живі інструкції від оператора і може перевести телефон в режим, де користувач бачить тільки чорний екран і не чує сповіщень, в той час як на пристрої виконуються фонові транзакції. Дослідники називають таке поєднання «захоплення пристрою + екранні накладки» ознакою «високорозвиненої» функціональності у сімейства, що вперше з’явилося в березні 2025 року (перші спалахи — Іспанія, Туреччина) і пізніше поширилося в Південній Америці та ряді країн Азії.

Перехоплення seed-фрази або приватних ключів дає зловмиснику повний доступ: фраза імпортується на «чистий» девайс і активи моментально виводяться. Аналогічно, скомпрометовані облікові записи і 2FA-коди відкривають шлях до біржових акаунтів і їх очищення. При активній віддаленій сесії на телефоні Crocodilus може самостійно підтверджувати свопи і підписувати TX, а користувач залишається в невіданні через відключені повідомлення. Часто перша індикація — це вже видимі on-chain списання; недавні інциденти оцінили втрати однієї хвилі заражень понад $2,8 млн протягом декількох тижнів.

Фахівці вказують, що Crocodilus не покладається на один метод зараження. Деякі шпигунські збірки маскувалися під оновлення та клоновані фінансові додатки; інші поширювалися за допомогою фішингових сайтів, що пропонували «Android client» під виглядом прискорювача транзакцій. Монетизація проста: отримати Accessibility, читати екран, чекати відкриття wallet і витягти секрет. Завдяки модульній архітектурі троян підтягує overlays з C2, що дозволяє зловмисникам додавати нові wallet-мітки і підтримувати актуальні DeFi-додатки без викладки нового APK — звідси висока живучість загрози.