بدافزار اندرویدی «Crocodilus» که برای اولینبار در مارس ۲۰۲۵ شناسایی شد، اکنون به تهدیدی جهانی تبدیل شده است. این بدافزار با هدف قرار دادن کاربران در اروپا، آمریکای جنوبی، ایالات متحده، هند و اندونزی، از طریق تبلیغات جعلی در پلتفرمهایی مانند فیسبوک منتشر میشود. در یکی از کمپینها، کاربران لهستانی با تبلیغات برنامههای وفاداری جعلی مواجه شدند که پس از کلیک، به وبسایتهای مخرب هدایت شده و بدافزار را دانلود میکردند.
Crocodilus پس از نصب، با درخواست دسترسی به خدمات دسترسی (Accessibility Services) کنترل کامل دستگاه را به دست میگیرد. این بدافزار با استفاده از تکنیکهای پیشرفته، صفحات ورود جعلی را بر روی برنامههای بانکی و کیفپولهای رمزارزی نمایش میدهد تا اطلاعات حساس کاربران را سرقت کند. یکی از ویژگیهای جدید این بدافزار، افزودن مخاطبین جعلی مانند «پشتیبانی بانک» به لیست تماسهای قربانی است، که به مهاجمان امکان میدهد تماسهای فریبندهای برقرار کنند.
علاوه بر این،Crocodilus با بهرهگیری از قابلیتهای لاگگیری دسترسی، عبارات بازیابی (Seed Phrases) و کلیدهای خصوصی کیفپولهای رمزارزی را استخراج میکند. این اطلاعات به مهاجمان اجازه میدهد تا کنترل کامل داراییهای دیجیتال قربانیان را به دست آورند.
توسعهدهندگان این بدافزار با استفاده از تکنیکهای پیچیده مانند رمزگذاری XOR و کدگذاری پیچیده، تلاش میکنند تا شناسایی و تحلیل آن را برای محققان امنیتی دشوارتر کنند. با توجه به گسترش سریع و قابلیتهای پیشرفته Crocodilus، کارشناسان امنیتی توصیه میکنند کاربران تنها از منابع معتبر مانند فروشگاه Google Play برنامهها را دانلود کرده و از فعال بودن Google Play Protect اطمینان حاصل کنند.
