نسخه جدید بدافزار اندروید ‘کروکودیلوس’ مکانیزم تازه‌ای معرفی کرده که مخاطب جعلی به لیست مخاطبین دستگاه آلوده اضافه می‌کند تا قربانیان را هنگام دریافت تماس از مجرمان سایبری فریب دهد. این ویژگی همراه با چندین قابلیت دیگر، عمدتاً بهبودهای متمرکز بر فرار از شناسایی، معرفی شده است، زیرا به نظر می‌رسد این بدافزار دامنه هدف‌گیری خود را در سراسر جهان گسترش داده است.

گسترش جهانی کروکودیلوس

این بدافزار برای اولین بار در اواخر مارس ۲۰۲۵ توسط محققان Threat Fabric مستندسازی شد که قابلیت‌های گسترده سرقت داده و کنترل از راه دور آن را برجسته کردند. نسخه‌های اولیه همچنین دارای تلاش‌های ابتدایی برای مهندسی اجتماعی از طریق پیام‌های خطای جعلی بودند که از کاربر می‌خواستند کلید کیف پول رمزارز خود را ظرف ۱۲ ساعت “پشتیبان‌گیری” کند وگرنه دسترسی به آن را از دست خواهد داد.

در آن زمان، کروکودیلوس تنها در چند کمپین کوچک در ترکیه مشاهده شده بود. اما اکنون طبق گزارش Threat Fabric که به نظارت بر عملیات این بدافزار ادامه داده، این وضعیت تغییر کرده و کروکودیلوس دامنه هدف‌گیری خود را به تمام قاره‌ها گسترش داده است.

در همین حال، آخرین نسخه‌ها بهبود فرار از شناسایی را از طریق بسته‌بندی کد در بخش دراپر و یک لایه اضافی رمزگذاری XOR برای محموله معرفی کرده‌اند. تحلیلگران همچنین پیچیدگی و درهم‌تنیدگی کد را مشاهده کرده‌اند که مهندسی معکوس بدافزار را دشوارتر می‌کند.

افزودن دیگر، سیستمی برای تجزیه داده‌های سرقت شده به صورت محلی در دستگاه آلوده قبل از ارسال آن به مجرم سایبری برای جمع‌آوری داده با کیفیت بالاتر است.

مخاطبین جعلی

ویژگی قابل توجه در آخرین نسخه بدافزار کروکودیلوس، توانایی افزودن مخاطبین جعلی در دستگاه قربانی است. این کار باعث می‌شود دستگاه هنگام دریافت تماس ورودی، نام ثبت شده در پروفایل مخاطب تماس‌گیرنده را به جای شماره تماس نمایش دهد.

این امر می‌تواند به مجرمان سایبری اجازه دهد تا خود را به عنوان بانک‌های مورد اعتماد، شرکت‌ها یا حتی دوستان و اعضای خانواده جا بزنند و تماس‌ها را قابل اعتمادتر نشان دهند.

این عمل با صدور دستور خاصی انجام می‌شود که کد زیر را برای ایجاد برنامه‌ای (با استفاده از ContentProvider API) یک مخاطب محلی جدید در دستگاه اندروید فعال می‌کند.

Threat Fabric در گزارش خود توضیح می‌دهد: “پس از دریافت دستور TRU9MMRHBCRO، کروکودیلوس مخاطب مشخص شده را به لیست مخاطبین قربانی اضافه می‌کند. این امر کنترل مهاجم بر دستگاه را بیشتر افزایش می‌دهد. ما معتقدیم هدف این است که شماره تلفنی با نام قانع‌کننده‌ای مانند ‘پشتیبانی بانک’ اضافه شود تا مهاجم بتواند با قربانی تماس بگیرد در حالی که مشروع به نظر می‌رسد.”

مخاطب سرکش به حساب گوگل کاربر متصل نیست، بنابراین با دستگاه‌های دیگری که در آن‌ها وارد شده‌اند همگام‌سازی نمی‌شود.

کروکودیلوس به سرعت در حال تکامل است و تمایل به مهندسی اجتماعی را نشان می‌دهد که آن را به بدافزاری بسیار خطرناک تبدیل می‌کند. به کاربران اندروید توصیه می‌شود هنگام دانلود نرم‌افزار برای دستگاه‌های خود به Google Play یا ناشران معتبر اکتفا کنند، اطمینان حاصل کنند که Play Protect همیشه فعال است و تعداد برنامه‌هایی که استفاده می‌کنند را به حداقل ضروری کاهش دهند.