Android всё: почему больше нельзя хранить криптовалюту на этой ОС

Специалистами по кибербезопасности была обнаружена новая угроза для пользователей Android — троян Crocodilus, который на момент публикации статьи является самым совершенным ПО для кражи криптовалют. Несмотря на то, что исследования нового вируса еще продолжаются и о нем мало что известно, GetBlock AML Research публикует все доступные сведения о Crocodilus и рекомендации по защите от новой угрозы.

Неизвестное происхождение

Троян Crocodilus был обнаружен специалистами по кибербезопасности Threat Fabric в марте 2025 года. По состоянию на апрель вирус получил широкое распространение в Турции и Испании. Однако эксперты прогнозируют, что в ближайшие месяцы Crocodilus распространится по всему миру.

Опасность Crocodilus состоит в его тесной интеграции с операционной системой Android. Попадая на устройство, вирус фактически становится частью ОС, что делает практически невозможным его удаление без причинения ущерба системе. Crocodilus берет устройство под полный контроль и позволяет хакерам производить любые действия с девайсом без ведома его владельца.

Еще одна проблема заключается в том, что специалисты до сих пор не могут выявить потенциальных авторов вируса, источники заражения и способы распространения трояна. Пока эксперты рекомендуют следующее:

• Не загружать незнакомые приложения, даже из Google Play, поскольку Crocodilus способен обходить сканеры безопасности всех крупнейших маркетов;
• Не переходить по фишинговым ссылкам, поскольку за ними в большинстве случаев скрывается вредоносное ПО;
• Не посещать и тем более — ничего не загружать на сайтах с пиратским программным обеспечением, поскольку в него встраивают вредоносный код.

Как работает Crocodilus

После заражения устройства Crocodilus запрашивает доступ к службе специальных возможностей. Это необходимо трояну для подключения к серверу злоумышленников, через который осуществляется управление устройством и кража пользовательских данных. Далее для маскировки хакеры используют оверлеи (наложение фиктивных окон поверх рабочего пространства).

Запрос Crocodilus на получение доступа к специальным возможностям

При попытке открыть приложение для хранения криптовалют Crocodilus скроет интерфейс кошелька и покажет окно, которое заставляет пользователя произвести резервное копирование закрытых ключей. Если согласиться на уловку и создать резервную копию, то закрытые ключи кошелька тут же отправятся на сервер хакеров.

Поддельное окно кошелька с призывом создать резервную копию

Crocodilus научили делать то, что в теории считается невозможным — удаленно обходить двухфакторную аутентификацию (2FA). При открытии 2FA-приложений, таких как Google Authenticator, вирус включает трансляцию экрана и передает ее на сервер.

Еще одна любопытная функция Crocodilus — возможность удаленного управления устройством, в ходе которого хакеры могут отключать экран и звук. Это позволяет злоумышленникам проводить любые операции с устройством, пока пользователь считает, что оно заблокировано.

Как отследить заражение

Crocodilus один из самых совершенных вирусов в плане маскировки. Однако его можно идентифицировать по некоторым косвенным признакам:

• Быстрый разряд батареи. Ресурс батареи иссякает с течением времени, однако о наличии вируса на устройстве может говорить именно резкое снижение времени работы девайса;
• Увеличение передачи данных. Троян регулярно общается с сервером, получая от него команды и передавая пользовательские данные. Поэтому после заражения значительно возрастает объем интернет-трафика. Один из главных признаков заражения — всплески передачи данных в периоды, когда вы не используете устройство.

Первая помощь при заражении

При первых признаках заражения Crocodilus следует выполнить следующие действия:

• Отключить устройство от интернета;
• Вынуть из устройства сим-карту;
• Вынуть из устройства батарею (если это возможно);
• Выключить устройство;
• Произвести замену паролей и ключей безопасности через другое устройство.

Обратите внимание, что зараженное устройство больше нельзя использовать. Сброс настроек до заводских и перепрошивка не гарантируют восстановление безопасности.