Ngày càng có nhiều chiến dịch độc hại lợi dụng một loại trojan ngân hàng Android mới được phát hiện có tên là Crocodilus để nhắm vào người dùng ở Châu Âu và Nam Mỹ.
Theo báo cáo mới được ThreatFabric công bố, phần mềm độc hại này cũng đã áp dụng các kỹ thuật che giấu cải tiến để cản trở việc phân tích và phát hiện, đồng thời có khả năng tạo liên hệ mới trong danh sách liên hệ của nạn nhân.
Công ty an ninh Hà Lan cho biết : "Hoạt động gần đây cho thấy nhiều chiến dịch hiện đang nhắm vào các quốc gia châu Âu trong khi vẫn tiếp tục các chiến dịch ở Thổ Nhĩ Kỳ và mở rộng ra toàn cầu đến Nam Mỹ".
Crocodilus lần đầu tiên được ghi nhận công khai vào tháng 3 năm 2025 khi nhắm mục tiêu vào người dùng thiết bị Android ở Tây Ban Nha và Thổ Nhĩ Kỳ bằng cách ngụy trang thành các ứng dụng hợp pháp như Google Chrome. Phần mềm độc hại này được trang bị khả năng khởi chạy các cuộc tấn công phủ lên danh sách các ứng dụng tài chính được lấy từ máy chủ bên ngoài để thu thập thông tin đăng nhập.
Nó cũng lạm dụng quyền của dịch vụ trợ năng để nắm bắt các cụm từ hạt giống liên quan đến ví tiền điện tử, sau đó có thể được sử dụng để rút cạn tài sản ảo được lưu trữ trong đó.
Những phát hiện mới nhất từ ThreatFabric chứng minh phạm vi địa lý của phần mềm độc hại đang mở rộng cũng như sự phát triển liên tục với những cải tiến và tính năng mới, cho thấy rằng nó đang được các nhà điều hành tích cực duy trì.
Các chiến dịch chọn lọc nhắm vào Ba Lan đã được phát hiện là sử dụng quảng cáo giả mạo trên Facebook như một phương tiện phân phối bằng cách bắt chước các ngân hàng và nền tảng thương mại điện tử. Những quảng cáo này dụ dỗ nạn nhân tải xuống ứng dụng để yêu cầu điểm thưởng. Người dùng cố gắng tải xuống ứng dụng sẽ được chuyển hướng đến một trang web độc hại cung cấp Crocodilus dropper.
Các đợt tấn công khác nhắm vào người dùng Tây Ban Nha và Thổ Nhĩ Kỳ đã ngụy trang thành bản cập nhật trình duyệt web và sòng bạc trực tuyến. Argentina, Brazil, Ấn Độ, Indonesia và Hoa Kỳ nằm trong số các quốc gia khác bị phần mềm độc hại nhắm đến.
Ngoài việc kết hợp nhiều kỹ thuật che giấu khác nhau để làm phức tạp các nỗ lực phân tích ngược, các biến thể mới của Crocodilus còn có khả năng thêm một số liên lạc cụ thể vào danh sách liên lạc của nạn nhân khi nhận được lệnh "TRU9MMRHBCRO".
Người ta nghi ngờ rằng tính năng này được thiết kế như một biện pháp đối phó với các biện pháp bảo vệ an ninh mới mà Google đã giới thiệu trong Android, nhằm cảnh báo người dùng về các vụ lừa đảo có thể xảy ra khi khởi chạy ứng dụng ngân hàng trong phiên chia sẻ màn hình với một số liên lạc không xác định.
"Chúng tôi tin rằng mục đích là thêm số điện thoại dưới một cái tên thuyết phục như 'Bank Support', cho phép kẻ tấn công gọi cho nạn nhân trong khi vẫn có vẻ hợp pháp. Điều này cũng có thể vượt qua các biện pháp phòng ngừa gian lận đánh dấu các số điện thoại không xác định", ThreatFabric cho biết.
Một tính năng mới khác là trình thu thập cụm từ hạt giống tự động sử dụng trình phân tích cú pháp để trích xuất cụm từ hạt giống và khóa riêng của ví tiền điện tử cụ thể.
"Các chiến dịch mới nhất liên quan đến Trojan ngân hàng Crocodilus Android báo hiệu sự tiến hóa đáng lo ngại về cả mức độ tinh vi về mặt kỹ thuật và phạm vi hoạt động của phần mềm độc hại này", công ty cho biết. "Đáng chú ý là các chiến dịch của nó không còn giới hạn trong phạm vi khu vực nữa; phần mềm độc hại này đã mở rộng phạm vi hoạt động sang các khu vực địa lý mới, nhấn mạnh sự chuyển đổi của nó thành mối đe dọa thực sự toàn cầu".
Khi phân tích cụ thể chức năng của Crocodilus, các nhà bảo mật cho biết, trojan này có khả năng thực hiện một loạt các hoạt động cụ thể như sau:
Khởi chạy ứng dụng được chỉ định
Tự xóa khỏi thiết bị
Đăng thông báo đẩy
Gửi tin nhắn SMS đến tất cả/chọn danh bạ
Lấy danh sách danh bạ
Nhận danh sách các ứng dụng đã cài đặt
Nhận tin nhắn SMS
Yêu cầu quyền Quản trị viên thiết bị
Bật lớp phủ đen
Cập nhật cài đặt máy chủ C2
Bật/tắt âm thanh
Bật/tắt ghi phím
Tự biến mình thành trình quản lý SMS mặc định
ThreatFabric cho biết Crocodilus có khả năng được điều hành bởi một tác nhân đe dọa có tên là 'sybra', trước đây có liên quan đến phần mềm độc hại MetaDroid (một biến thể của Ermac), Hook và Octo Android.
Cập nhật#
Sau khi câu chuyện được công bố, người phát ngôn của Google đã chia sẻ tuyên bố dưới đây với The Hacker News -
Dựa trên phát hiện hiện tại của chúng tôi, không có ứng dụng nào chứa phần mềm độc hại này được tìm thấy trên Google Play. Người dùng Android được bảo vệ tự động bởi Google Play Protect, được bật theo mặc định trên các thiết bị Android có Dịch vụ Google Play. Google Play Protect có thể cảnh báo người dùng hoặc chặn các ứng dụng được biết là có hành vi độc hại, ngay cả khi các ứng dụng đó đến từ các nguồn bên ngoài Play.
Source: https://www.securityweek.com/crocodilus-android-banking-trojan-allows-device-takeover-data-theft/
Theo báo cáo mới được ThreatFabric công bố, phần mềm độc hại này cũng đã áp dụng các kỹ thuật che giấu cải tiến để cản trở việc phân tích và phát hiện, đồng thời có khả năng tạo liên hệ mới trong danh sách liên hệ của nạn nhân.
Công ty an ninh Hà Lan cho biết : "Hoạt động gần đây cho thấy nhiều chiến dịch hiện đang nhắm vào các quốc gia châu Âu trong khi vẫn tiếp tục các chiến dịch ở Thổ Nhĩ Kỳ và mở rộng ra toàn cầu đến Nam Mỹ".
Crocodilus lần đầu tiên được ghi nhận công khai vào tháng 3 năm 2025 khi nhắm mục tiêu vào người dùng thiết bị Android ở Tây Ban Nha và Thổ Nhĩ Kỳ bằng cách ngụy trang thành các ứng dụng hợp pháp như Google Chrome. Phần mềm độc hại này được trang bị khả năng khởi chạy các cuộc tấn công phủ lên danh sách các ứng dụng tài chính được lấy từ máy chủ bên ngoài để thu thập thông tin đăng nhập.
Nó cũng lạm dụng quyền của dịch vụ trợ năng để nắm bắt các cụm từ hạt giống liên quan đến ví tiền điện tử, sau đó có thể được sử dụng để rút cạn tài sản ảo được lưu trữ trong đó.
Những phát hiện mới nhất từ ThreatFabric chứng minh phạm vi địa lý của phần mềm độc hại đang mở rộng cũng như sự phát triển liên tục với những cải tiến và tính năng mới, cho thấy rằng nó đang được các nhà điều hành tích cực duy trì.
Các chiến dịch chọn lọc nhắm vào Ba Lan đã được phát hiện là sử dụng quảng cáo giả mạo trên Facebook như một phương tiện phân phối bằng cách bắt chước các ngân hàng và nền tảng thương mại điện tử. Những quảng cáo này dụ dỗ nạn nhân tải xuống ứng dụng để yêu cầu điểm thưởng. Người dùng cố gắng tải xuống ứng dụng sẽ được chuyển hướng đến một trang web độc hại cung cấp Crocodilus dropper.
Các đợt tấn công khác nhắm vào người dùng Tây Ban Nha và Thổ Nhĩ Kỳ đã ngụy trang thành bản cập nhật trình duyệt web và sòng bạc trực tuyến. Argentina, Brazil, Ấn Độ, Indonesia và Hoa Kỳ nằm trong số các quốc gia khác bị phần mềm độc hại nhắm đến.
Ngoài việc kết hợp nhiều kỹ thuật che giấu khác nhau để làm phức tạp các nỗ lực phân tích ngược, các biến thể mới của Crocodilus còn có khả năng thêm một số liên lạc cụ thể vào danh sách liên lạc của nạn nhân khi nhận được lệnh "TRU9MMRHBCRO".
Người ta nghi ngờ rằng tính năng này được thiết kế như một biện pháp đối phó với các biện pháp bảo vệ an ninh mới mà Google đã giới thiệu trong Android, nhằm cảnh báo người dùng về các vụ lừa đảo có thể xảy ra khi khởi chạy ứng dụng ngân hàng trong phiên chia sẻ màn hình với một số liên lạc không xác định.
"Chúng tôi tin rằng mục đích là thêm số điện thoại dưới một cái tên thuyết phục như 'Bank Support', cho phép kẻ tấn công gọi cho nạn nhân trong khi vẫn có vẻ hợp pháp. Điều này cũng có thể vượt qua các biện pháp phòng ngừa gian lận đánh dấu các số điện thoại không xác định", ThreatFabric cho biết.
Một tính năng mới khác là trình thu thập cụm từ hạt giống tự động sử dụng trình phân tích cú pháp để trích xuất cụm từ hạt giống và khóa riêng của ví tiền điện tử cụ thể.
"Các chiến dịch mới nhất liên quan đến Trojan ngân hàng Crocodilus Android báo hiệu sự tiến hóa đáng lo ngại về cả mức độ tinh vi về mặt kỹ thuật và phạm vi hoạt động của phần mềm độc hại này", công ty cho biết. "Đáng chú ý là các chiến dịch của nó không còn giới hạn trong phạm vi khu vực nữa; phần mềm độc hại này đã mở rộng phạm vi hoạt động sang các khu vực địa lý mới, nhấn mạnh sự chuyển đổi của nó thành mối đe dọa thực sự toàn cầu".
Khi phân tích cụ thể chức năng của Crocodilus, các nhà bảo mật cho biết, trojan này có khả năng thực hiện một loạt các hoạt động cụ thể như sau:
Khởi chạy ứng dụng được chỉ định
Tự xóa khỏi thiết bị
Đăng thông báo đẩy
Gửi tin nhắn SMS đến tất cả/chọn danh bạ
Lấy danh sách danh bạ
Nhận danh sách các ứng dụng đã cài đặt
Nhận tin nhắn SMS
Yêu cầu quyền Quản trị viên thiết bị
Bật lớp phủ đen
Cập nhật cài đặt máy chủ C2
Bật/tắt âm thanh
Bật/tắt ghi phím
Tự biến mình thành trình quản lý SMS mặc định
ThreatFabric cho biết Crocodilus có khả năng được điều hành bởi một tác nhân đe dọa có tên là 'sybra', trước đây có liên quan đến phần mềm độc hại MetaDroid (một biến thể của Ermac), Hook và Octo Android.
Cập nhật#
Sau khi câu chuyện được công bố, người phát ngôn của Google đã chia sẻ tuyên bố dưới đây với The Hacker News -
Dựa trên phát hiện hiện tại của chúng tôi, không có ứng dụng nào chứa phần mềm độc hại này được tìm thấy trên Google Play. Người dùng Android được bảo vệ tự động bởi Google Play Protect, được bật theo mặc định trên các thiết bị Android có Dịch vụ Google Play. Google Play Protect có thể cảnh báo người dùng hoặc chặn các ứng dụng được biết là có hành vi độc hại, ngay cả khi các ứng dụng đó đến từ các nguồn bên ngoài Play.
Source: https://www.securityweek.com/crocodilus-android-banking-trojan-allows-device-takeover-data-theft/
