کمپین‌های مخرب متعددی از تروجان بانکی اندروید تازه کشف شده به نام Crocodilus برای هدف قرار دادن کاربران در اروپا و آمریکای جنوبی استفاده کرده‌اند. بر اساس گزارش جدید شرکت امنیتی ThreatFabric، این بدافزار تکنیک‌های پیشرفته مبهم‌سازی را برای جلوگیری از تحلیل و شناسایی به کار گرفته و قابلیت ایجاد مخاطبین جدید در لیست تماس قربانیان را دارد.

این شرکت امنیتی هلندی اعلام کرد: “فعالیت‌های اخیر نشان می‌دهد که کمپین‌های متعددی اکنون کشورهای اروپایی را هدف قرار داده‌اند، در حالی که کمپین‌های ترکیه ادامه دارد و به صورت جهانی به آمریکای جنوبی گسترش یافته است.”

Crocodilus اولین بار در مارس ۲۰۲۵ به صورت عمومی مستند شد که کاربران دستگاه‌های اندروید در اسپانیا و ترکیه را با جعل هویت برنامه‌های قانونی مانند Google Chrome هدف قرار می‌داد. این بدافزار مجهز به قابلیت‌هایی برای راه‌اندازی حملات پوششی علیه فهرستی از برنامه‌های مالی است که از یک سرور خارجی دریافت می‌شود تا اطلاعات کاربری را سرقت کند.

همچنین از مجوزهای خدمات دسترسی سوءاستفاده می‌کند تا عبارات بازیابی مرتبط با کیف پول‌های ارز دیجیتال را ضبط کند که می‌تواند برای تخلیه دارایی‌های مجازی ذخیره شده در آنها استفاده شود.

یافته‌های جدید ThreatFabric گسترش دامنه جغرافیایی بدافزار و همچنین توسعه مداوم با بهبودها و ویژگی‌های جدید را نشان می‌دهد که نشان‌دهنده نگهداری فعال آن توسط اپراتورها است.

کمپین‌های منتخب با هدف لهستان از تبلیغات جعلی در فیسبوک به عنوان بردار توزیع با تقلید از بانک‌ها و پلتفرم‌های تجارت الکترونیک استفاده می‌کنند. این تبلیغات قربانیان را برای دانلود برنامه‌ای برای دریافت امتیازات پاداش فرضی فریب می‌دهند. کاربرانی که سعی در دانلود برنامه دارند به سایت مخربی هدایت می‌شوند که Crocodilus dropper را ارائه می‌دهد.

موج‌های حمله دیگر با هدف کاربران اسپانیایی و ترکی خود را به عنوان به‌روزرسانی مرورگر وب و کازینوی آنلاین جا زده‌اند. آرژانتین، برزیل، هند، اندونزی و ایالات متحده از جمله کشورهای دیگری هستند که توسط این بدافزار مورد هدف قرار گرفته‌اند.

علاوه بر ادغام تکنیک‌های مختلف مبهم‌سازی برای پیچیده کردن تلاش‌های مهندسی معکوس، نسخه‌های جدید Crocodilus قابلیت اضافه کردن یک مخاطب مشخص به لیست تماس قربانی را پس از دریافت دستور “TRU9MMRHBCRO” دارند.

گمان می‌رود این ویژگی به عنوان اقدام متقابل در برابر حفاظت‌های امنیتی جدیدی طراحی شده که گوگل در اندروید معرفی کرده است که کاربران را از کلاهبرداری‌های احتمالی هنگام راه‌اندازی برنامه‌های بانکی در طول جلسه اشتراک‌گذاری صفحه با یک مخاطب ناشناس آگاه می‌کند.

ThreatFabric گفت: “ما معتقدیم قصد این است که یک شماره تلفن با نامی قانع‌کننده مانند ‘پشتیبانی بانک’ اضافه شود که به مهاجم اجازه می‌دهد با قربانی تماس بگیرد در حالی که قانونی به نظر می‌رسد. این همچنین می‌تواند از اقدامات پیشگیری از تقلب که شماره‌های ناشناس را علامت‌گذاری می‌کنند، عبور کند.”

ویژگی جدید دیگر یک جمع‌آوری‌کننده خودکار عبارت بازیابی است که از یک تجزیه‌کننده برای استخراج عبارات بازیابی و کلیدهای خصوصی کیف پول‌های ارز دیجیتال خاص استفاده می‌کند.

شرکت گفت: “آخرین کمپین‌های مربوط به تروجان بانکی اندروید Crocodilus نشان‌دهنده تکامل نگران‌کننده‌ای در پیچیدگی فنی بدافزار و دامنه عملیاتی آن است. به طور قابل توجه، کمپین‌های آن دیگر محدود به منطقه نیستند؛ بدافزار دسترسی خود را به مناطق جغرافیایی جدید گسترش داده است که تبدیل آن به یک تهدید واقعاً جهانی را نشان می‌دهد.”