Malware Crocodilus
Malware Crocodilus byl poprvé zdokumentován výzkumníky společnosti Threat Fabric koncem března 2025. Původně se objevoval pouze v malých kampaních zaměřených na Turecko, ale situace se výrazně změnila. Podle nejnovějších zjištění se škodlivý software rozšířil na všechny kontinenty a představuje nyní celosvětovou hrozbu.
Tato expanze není náhodná. Kyberzločinci systematicky rozšiřují své cílové trhy a současně vylepšují technické možnosti malwaru. Zatímco dříve se jednalo o relativně jednoduché útoky, dnešní verze Crocodilus představuje sofistikovaný nástroj pro krádež dat a vzdálené ovládání zařízení.
Falešné kontakty jsou problém
Nejnebezpečnější novinkou je schopnost malwaru vytvářet falešné kontakty v telefonu oběti. Po obdržení specifického příkazu „TRU9MMRHBCRO“ přidá Crocodilus do kontaktů nový záznam s libovolným jménem a telefonním číslem útočníka.
Tento mechanismus funguje velmi mazaně. Když podvodník zavolá, telefon nezobrazí neznámé číslo, ale jméno z kontaktu - například „Podpora banky“ nebo „IT oddělení“. Oběť tak automaticky považuje hovor za legitimní a je ochotnější poskytnout citlivé informace.
Důležité je, že tyto falešné kontakty se nesynchronizují s Google účtem, takže zůstávají pouze v nakaženém zařízení. Pro běžného uživatele je tedy prakticky nemožné rozeznat, že se jedná o podvod.
Mohlo by vás zajímat
Rozšíření do Evropy a dalších regionů
Nejnovější kampaně potvrzují globální ambice tvůrců Crocodilus. Malware se nyní aktivně šíří v evropských zemích, včetně Polska, České republiky a Španělska, ale také v Jižní Americe. Útočníci využívají různé distribuční metody, od falešných reklam na sociálních sítích až po předstírání aktualizací prohlížečů.
Zajímavé je sledovat, jak se kampaně přizpůsobují místním podmínkám. V Polsku se malware vydával za aplikace bank a e-commerce platforem, přičemž uživatele lákal na získání bonusových bodů prostřednictvím reklam na Facebooku. Ve Španělsku zase cílí na téměř všechny místní banky, což ukazuje na důkladnou přípravu útočníků.
Just spotted a little "hello" from the #Crocodilus Android banker devs — they left a message in the logs right after the malware launches.
— Lukas Stefanko (@LukasStefanko) June 3, 2025
Analysis of Crocodilus: https://t.co/frr3w5O2wm
New developments: https://t.co/KJEcnaj7J8 pic.twitter.com/FTSbQbZQMC
Mohlo by vás zajímat
Vylepšené kryptografické schopnosti
Crocodilus se nezaměřuje pouze na tradiční bankovní údaje. Nová verze obsahuje pokročilý analyzátor pro extrakci seed frází a soukromých klíčů kryptoměnových peněženek. Malware dokáže lokálně zpracovat ukradená data přímo v nakaženém zařízení a teprve poté je odeslat útočníkům v již předpřipravené formě.
Tato funkce využívá technologii AccessibilityLogging, která původně sloužila pro zlepšení přístupnosti aplikací. Kyberzločinci ji však zneužili k monitorování všeho, co se zobrazuje na obrazovce, včetně citlivých informací z kryptoměnových aplikací. Vývojáři malwaru věnovali značnou pozornost i vylepšení technik utajení.
Mohlo by vás zajímat
Jak se chránit?
Ochrana před Crocodilus vyžaduje kombinaci technických opatření a zvýšené opatrnosti uživatelů. Základem je instalace aplikací pouze z oficiálního Obchodu Google Play nebo od ověřených vydavatelů. Důležité je také udržovat aktivní Google Play Protect a minimalizovat počet nainstalovaných aplikací na naprosté minimum.
Uživatelé by měli být obzvláště opatrní při hovoru s lidmi, kteří se vydávají za zástupce bank nebo technických služeb, a to i v případě, že se jejich jméno zobrazuje v kontaktech. V případě podezření je vždy lepší hovor ukončit a zavolat zpět na oficiální číslo instituce.
Zdroj: Threat Fabric, Bleeding Computer
video
9 foto
