Crocodilus Android Троян: Как Он Атакует Криптокошельки и Банковские Приложения в 2025

В марте 2025 года исследователи безопасности обнаружили новый Android-троян под названием Crocodilus, который активно атакует пользователей криптокошельков и банковских приложений. Первоначально активный в Турции, вирус теперь распространился на Европу, Южную Америку и Азию, используя фишинговые методы и инновационные техники обхода защиты.

“Crocodilus демонстрирует эволюцию мобильного вредоносного ПО: он не только маскируется под легитимные приложения, но и активно эксплуатирует уязвимости в Android 13+.” – ThreatFabric, отчёт по мобильной кибербезопасности.

🌍 Глобальная экспансия: от Турции до Европы и Южной Америки 🌐

Сначала Crocodilus был обнаружен в Турции, где выдавал себя за онлайн-казино или поддельные приложения банков. Однако к маю 2025 года его кампании охватили:

• Польшу (через Facebook Ads с фальшивыми приложениями лояльности);
• Испанию (под видом обновления браузера);
• Аргентину и Бразилию (через поддельные приложения для майнинга);
• Индонезию, Индию и США (локализованные фишинговые атаки).

По данным ThreatFabric, рекламные кампании в Facebook достигли тысяч пользователей за 1–2 часа, фокусируясь на аудитории старше 35 лет. Это указывает на целенаправленный подход криптоугрозы.

🎯 Методы атаки: от Overlay-атак до сбора seed-фраз 📊

Crocodilus использует несколько техник для кражи данных:

1. Overlay-атаки: внедряет фальшивые страницы входа поверх легитимных приложений (например, Binance, Revolut);
2. Модификация контактов: добавляет номера телефонов с меткой “Банковская поддержка” для социальной инженерии;
3. Автоматический сбор seed-фраз: извлекает приватные ключи и восстанавливает кошельки за секунды.

Новая версия вируса также включает обфускацию кода (XOR-шифрование и запутанные логические цепочки), чтобы усложнить анализ специалистам.

💰 Криптодренеры как сервис: угроза становится доступной 💸

Согласно AMLBot, криптодренеры (malware для кражи криптовалюты) теперь доступны по модели SaaS. Хакеры могут арендовать дренер за 100–300 USDT, что делает атаки массовыми и дешёвыми.

• Procolored: китайский производитель принтеров был пойман на распространении Bitcoin-вируса через официальные драйверы;
• Lumma и COLDRIVER: аналогичные угрозы, использующие инфостилеры для кражи данных.

Это создаёт экосистему, где даже новички могут запустить криптоатаку за час.

📊 Статистика и риски: кто в зоне риска? 📈

Регион	Цели	Метод атаки	Ущерб (оценка)
Турция	Банковские приложения	Поддельные APK	$2.1 млн
Польша	Пользователи Facebook	Фишинг через рекламу	$500 тыс.
Испания	Криптокошельки	Сбор seed-фраз	$1.3 млн

Основные риски: потеря доступа к кошелькам, утечка персональных данных, финансовые потери до $5 млн за кампанию.

🛡️ Как защититься от Crocodilus? 🔍

1. Не устанавливайте приложения из сторонних магазинов;
2. Проверяйте разрешения: вирус требует доступ к уведомлениям и камере;
3. Обновляйте ОС: Android 14+ имеет защиту от overlay-атак;
4. Используйте двухфакторную аутентификацию;
5. Сканируйте устройства антивирусами (например, Kaspersky Mobile).

🧠 Экспертное мнение: что дальше? 🚀

• ThreatFabric: “Crocodilus будет адаптироваться под новые версии Android. Ожидаем атаки на DeFi-приложения.”;
• AMLBot: “Рост криптодренеров как услуги угрожает массовым взломам в 2025 году.”;
• Kriss Pax, аналитик: “Инвесторы должны хранить крипту в холодных кошельках до окончания угрозы.”.

“Цифровые активы стали главной мишенью киберпреступников. Без базовой гигиены безопасности вы рискуете потерять всё.” – Kriss Pax, аналитик крипторынка.