Истраживачи кажу да се малвер дистрибуира преко дроппера који заобилази безбједносне заштите Андроида 13 и новијих верзија. Дропер инсталира малвер без покретања Плеј Протекта и заобилази ограничења Аксесибилити Сервис.

Оно што Крокодилус чини посебним је то што користи социјални инжењеринг како би жртве дале приступ свом крипто новчанику. То се постиже упозорењем које преклапа екран да корисници морају да "направе резервну копију кључа новчаника у подешавањима у року од 12 сати" или ризикују да изгубе приступ свом новчанику.

"Овај трик соци инжењеринга води жртву да њене сид фразе (кључ новчаника), омогућавајући Крокодилусу да је украде користећи свој Аксесибилити Логер", објашњава ТритФабрик.

"Са овим информацијама, нападачи могу да преузму потпуну контролу над новчаником и потпуно га испразне", додаје се у саопштењу, преноси сајт "Информација.рс".

И својим првим операцијама Крокодилус је циљао кориснике у Турској и Шпанији, и банковне рачуне из те двије земље. По свему судећи малвер је турског поријекла.

Нејасно је како долази до инфекције, али обично су жртве преварене да преузму дроппер са злонамјерних сајтова, преко лажних реклама на друштвеним мрежама или СМС-а и незваничних продавница апликација.

Када се покрене, Крокодилус добија приступ Аксесибилити Сервис, који је намијењен за помоћ особама са инвалидитетом, да би добио приступ садржају на екрану и надгледао покретање апликација.

Када жртва отвори апликацију банке или новчаник за криптовалуту, Крокодилус учитава лажни екран преко праве апликације како би пресрео податке за пријављивање на налог жртве.

Шта све може?

Малвер подржава 23 команде које може да изврши на уређају, укључујући прослеђивање позива, покретање одређене апликације, објављивање пусх обавијештења, слање СМС-ова свим контактима или одређеном броју, добијање СМС поруке, захтјевање привилегија администратора уређаја, укључивање и искључивање звука, закључавање екрана, као и да буде подразумијевана СМС апликација.

Малвер такође нуди функцију тројанаца за даљински приступ (РАТ), која омогућава оператерима да додирују екран, крећу се по корисничком интерфејсу, изводе покрете превлачења и још много тога.

Постоји и намјенска РАТ команда за скриншот апликације Гуге Аутентикатор и снимање једнократних кодова који се користе за заштиту налога двофакторском аутентификацијом.

Док обављају ове радње, оператери могу да активирају преклапање црног екрана и искључе звук уређаја како би од жртве сакрили оно што се дешава на уређају тако да њој изгледа као да је уређај закључан.

Малвер би ускоро могао да се прошири по цијелом свијету, а они који стоје иза овог малвера могли би додати још апликација на листу циљаних апликација.

Корисницима Андроида се савјетује да избјегавају преузимање АПК-ова изван Гугл Плеј и да Плеј Протект буде увијек активан на њиховим уређајима, преноси "б92".

Пратите нас и путем Вибера