Шкідливе програмне забезпечення Crocodilus: як воно атакує криптогаманці на Android
Що таке шкідливе ПЗ Crocodilus?
Crocodilus — це найновіший представник ланцюга шкідливих програм для Android, створених для викрадення ваших криптоактивів.
Crocodilus — це складне шкідливе програмне забезпечення, яке краде цифрові активи з пристроїв на базі Android. Назву воно отримало завдяки численним згадкам про крокодилів у своєму коді, а головною ціллю є пристрої на Android 13 або новіші. Цей шкідливий додаток для гаманців використовує накладки на екран, віддалений доступ і соціальну інженерію, щоб перехопити контроль над вашим пристроєм та спустошити ваш криптогаманець.
Компанія з попередження шахрайства Threat Fabric виявила шкідливе ПЗ Crocodilus у березні 2025 року та опублікувала детальні дослідження щодо нового вірусу. Станом на квітень 2025 року основними цілями залишаються користувачі з Іспанії та Туреччини. У Threat Fabric прогнозують, що Crocodilus у найближчі місяці розшириться до світового масштабу.
Як Crocodilus заражає пристрої на Android
Основний спосіб зараження Crocodilus досі невідомий, але, ймовірно, його розповсюдження схоже на інші шкідливі програми.
Відмінна риса Crocodilus порівняно з типовими шкідливими програмами для криптогаманців — це глибока інтеграція із вашим пристроєм. Він робить набагато більше, ніж просто використовує соціальну інженерію, — цей вірус повністю бере під контроль ваш Android.
Хоча точна причина інфікування невідома, такий тип шкідливого ПЗ часто з’являється такими шляхами:
- Фальшиві додатки: Crocodilus може маскуватися під легітимний додаток, пов’язаний із криптовалютами, у Google Play чи на сторонніх сайтах з додатками. Threat Fabric зазначає, що цей вірус здатен обходити сканери захисту Google Play Store.
- SMS-промоакції: SMS-шахрайства стають все більш поширеними. Якщо ви отримали випадковий текст із підозрілим посиланням, не клікайте на нього. Це може бути сторінка, яка завантажить шкідливе ПЗ.
- Шкідлива реклама: Інфіковані оголошення часто зустрічаються на сайтах для дорослих чи з піратським ПЗ. Реклама розміщена так, щоб ви випадково натиснули, і іноді досить лише одного натискання, щоб завантажити шкідливий файл.
- Фішингові атаки: Деякі кампанії розповсюджують зловмисні листи, що маскуються під служби криптобірж. Перевіряйте адресу відправника, щоб переконатися у легітимності листа.
Після зараження пристрою Crocodilus запитує дозвіл на доступність сервісів пристрою. Якщо надати такі дозволи, Crocodilus підключається до свого командно-контрольного сервера (C2): зловмисники можуть накладати вікна поверх екрана, відстежувати натискання клавіш або включити віддалений доступ для повного контролю над пристроєм.
Однак головна ознака цієї програми — фішинговий трюк із резервною копією гаманця. Якщо ви входите у свій криптогаманець за допомогою пароля чи PIN-коду, Crocodilus накладає фейкове вікно з текстом:
«Створіть резервну копію ключа гаманця у налаштуваннях протягом 12 годин. Інакше додаток буде скинуто, і ви можете втратити доступ до гаманця».
Натиснувши «продовжити», ви потрапляєте на екран введення сід-фрази. Зловмисники перехоплюють її через кейлогер — і отримують усе необхідне для викрадення ваших активів.
Таке фальшиве вікно імітує справжнє програмне забезпечення для гаманців. Кнопка «продовжити» виглядає дуже переконливо, але справжній додаток ніколи не буде змушувати вас до резервного копіювання у такий спосіб. Якщо ви побачили таку накладку — негайно видаліть додаток та, за можливості, виконайте чисте встановлення пристрою.
На жаль, кейлогінг — лише початок. Crocodilus обходить двофакторну аутентифікацію (2FA) через запис екрану: вірус копіює коди верифікації з таких додатків, як Google Authenticator, і передає їх на сервер управління (C2).
Що ще гірше, Crocodilus виводить чорну накладку на екран та вимикає звук вашого пристрою, маскуючи власну діяльність. Він імітує заблокований телефон, поки у фоновому режимі непомітно викрадає ваші активи.
Загалом, шкідлива програма виконує 45 різних команд, у тому числі:
- Перехоплення SMS: Crocodilus може читати ваші текстові повідомлення, відправляти повідомлення всім у контактному списку та навіть зробити себе додатком для SMS за замовчуванням.
- Віддалений доступ: Програма повністю контролює ваш пристрій: вона може відкривати додатки, вмикати камеру чи запис екрану.
- Модифікація тексту: В той час, як Crocodilus змушує вас вводити дані гаманця, він може змінювати чи генерувати текст, щоб забезпечити зловмисникам доступ до ваших особистих застосунків через знайдену на пристрої інформацію.
Чи знали ви? Підступні шкідливі програми для криптогаманців — звична річ. Атаки «нульового кліку» — коли вірус заражає пристрій без жодних дій з вашого боку — це ще одна поширена загроза для криптовалют у 2025 році.
Що робити, якщо ви стали жертвою атаки Crocodilus?
У разі атаки Crocodilus слід діяти негайно.
Якщо ви стали жертвою Android-трояна Crocodilus, негайно дотримуйтеся таких порад для захисту свого криптогаманця:
- Ізолюйте пристрій: Від’єднайте телефон від Wi-Fi чи мобільних даних і вимкніть його. За можливості — вийміть акумулятор.
- Відновіть свої активи: У вас має бути сід-фраза гаманця, збережена у надійному фізичному місці. Скористайтеся нею для відновлення гаманця на незараженому пристрої.
- Позбавтеся зараженого пристрою: На жаль, продовжувати користуватись зараженим пристроєм — великий ризик. Навіть скидання до заводських налаштувань може не видалити вірус повністю. Перехід на інший пристрій — найбезпечніший варіант.
- Повідомте про загрозу: Якщо ви завантажили шкідливий додаток (наприклад, із Google Play), повідомте про це відповідним службам.
Чи знали ви? Якщо ви втратите свої криптоактиви, повернути їх уже неможливо. Дехто вважає це недоліком децентралізації — відсутність централізованого органу, який контролює та може компенсувати крадіжку.
Як перевірити, чи піддавався пристрій атаці Crocodilus
Регулярні перевірки значно підвищують захищеність ваших криптовалют. Дізнайтеся, як виявити шкідливе ПЗ для крипти.
Хоча Crocodilus діє скритно, є певні характерні ознаки зараження.
Ось як захистити криптовалюту на Android, якщо підозрюєте атаку Crocodilus:
- Підозрілий актив додатків: Перевіряйте журнал активності пристрою. Незрозуміла активізація додатків для криптовалют чи банкінгу може викликати занепокоєння.
- Перевіряйте дозволи додатків: Регулярно переглядайте надані дозволи, особливо ті, що запитують доступ до сервісів доступності.
- Підвищене споживання акумулятора: Невелика, але важлива ознака зараження — це посилене розрядження батареї. Якщо акумулятор сідає швидше, ніж зазвичай, можливо, у фоновому режимі працює шкідливе ПЗ.
- Стрибки використання трафіку: Crocodilus постійно передає дані на сервер C2. Слідкуйте за обсягом використаних даних і звертайте увагу на раптові сплески. Це одна з найочевидніших ознак компрометації додатка гаманця.
Як запобігти злому через Crocodilus
Профілактика — найкращий захист.
За даними аналітичної компанії Chainalysis, у 2024 році обсяг викрадених криптовалют через зломи досяг приблизно 51 мільярда доларів. Очікується, що ця цифра зростатиме у 2025 році та надалі. Кібербезпека стає дедалі важливішою з переходом до децентралізованих цифрових фінансів.
Попри неможливість повної безпеки, варто впровадити наступні звички для кращого захисту. Безпека криптогаманця у 2025 році актуальна, як ніколи раніше:
- Безпечний перегляд сторінок: Уникайте підозрілих сайтів, що призначені для зараження Crocodilus чи іншими шкідливими програмами для викрадення ключів.
- Використовуйте апаратний гаманець: Станом на квітень 2025 року Crocodilus атакує пристрої саме на Android. Зберігання крипти в апаратному гаманці значно зменшує ризики зараження.
- Перевіряйте джерела завантажень: Не завантажуйте додатки зі сторонніх чи небезпечних сайтів. Навіть у Google Play ретельно перевіряйте офіційність додатків перед встановленням.
- Актуальність інформації: Слідкуйте за авторитетними ресурсами з кібербезпеки, профільними субредітами тощо, щоб бути в курсі способів захисту від Crocodilus.
І нарешті, будьте уважні до несподіваних вікон із пропозиціями резервного копіювання та слідкуйте за підозрілою поведінкою додатків.
