شرکت امنیت سایبری Threat Fabric اعلام کرده است که یک خانواده جدید از بدافزارهای تلفن همراه را شناسایی کرده است که می تواند پوشش جعلی برای برخی از برنامه ها ایجاد کند تا کاربران اندروید را فریب دهد و عبارت های بازیابی کیف پول رمزنگاری خود را ارائه دهند، در حالی که کنترل دستگاه را نیز در دست می گیرد. تحلیلگران Threat Fabric در گزارشی در تاریخ ۲۸ مارس اظهار داشتند که بدافزار Crocodilus از یک پوشش صفحه نمایش استفاده می کند که به کاربران هشدار می دهد کلید کیف پول رمزنگاری خود را تا یک مهلت مشخص پشتیبان گیری کنند، در غیر این صورت دسترسی خود را از دست خواهند داد. به گفته Threat Fabric، این ترفند مهندسی اجتماعی قربانی را راهنمایی می کند تا به کلید عبارت بازیابی کیف پول خود دسترسی پیدا کند و به Crocodilus اجازه می دهد متن را با استفاده از ثبت کننده دسترسی خود برداشت کند. پس از اینکه مهاجمان عبارت بازیابی را به دست آوردند، می توانند کنترل کامل کیف پول را به دست گرفته و آن را به طور کامل خالی کنند. Threat Fabric می گوید که Crocodilus، با وجود اینکه یک بدافزار جدید است، تمام ویژگی های بدافزارهای مدرن بانکی را داراست، از جمله حملات پوششی، جمع آوری پیشرفته داده ها از طریق ضبط صفحه نمایش اطلاعات حساس مانند رمزهای عبور و دسترسی از راه دور برای کنترل دستگاه آلوده. طبق گفته Threat Fabric، آلودگی اولیه از طریق دانلود ناخواسته بدافزار در نرم افزارهای دیگر که از Android 13 و محافظت های امنیتی عبور می کنند، رخ می دهد. پس از نصب، Crocodilus درخواست فعال سازی سرویس دسترسی را می دهد، که به هکرها امکان دسترسی به دستگاه را می دهد. این بدافزار به طور مداوم در حال اجرا است، راه اندازی برنامه ها را نظارت می کند و پوشش هایی را برای رهگیری اعتبارنامه ها نمایش می دهد. هنگامی که یک برنامه بانکی یا رمزنگاری مورد هدف باز می شود، پوشش جعلی در بالای آن راه اندازی می شود و صدا را قطع می کند در حالی که هکرها کنترل دستگاه را در دست می گیرند. تیم اطلاعات تهدید موبایل Threat Fabrix دریافته است که این بدافزار کاربران در ترکیه و اسپانیا را هدف قرار می دهد، اما گفته است که دامنه استفاده از آن به مرور زمان گسترش خواهد یافت. آنها همچنین حدس می زنند که توسعه دهندگان ممکن است به زبان ترکی صحبت کنند و افزودند که یک عامل تهدید به نام Sybra یا هکر دیگری که نرم افزار جدید را آزمایش می کند، می تواند پشت این بدافزار باشد.
