Crocodilus w Polsce – nowa fala mobilnych ataków na użytkowników Androida

Jak fałszywe aplikacje podszywające się pod znane marki przejmują kontrolę nad urządzeniami i kradną dane

6/7/20252 min read

Wprowadzenie – czym to jest Crocodilus?

Crocodilus to nowy trojan bankowy na Androida, który wiosną 2025 roku pojawił się w kampaniach phishingowych w Polsce. Złośliwe oprogramowanie rozprzestrzeniane było za pomocą reklam na Facebooku, które kierowały użytkowników do fałszywych aplikacji podszywających się pod znane marki, takie jak IKO (PKO BP), Allegro czy Play. Po zainstalowaniu, malware uzyskiwał dostęp do usług ułatwień dostępu, co pozwalało mu na przejęcie pełnej kontroli nad urządzeniem i kradzież danych uwierzytelniających.

Mechanizm ataku

Atak rozpoczynał się od sponsorowanej reklamy na Facebooku, która zachęcała do pobrania aplikacji oferującej np. bonus 300 zł. Po kliknięciu, użytkownik był przekierowywany do strony z fałszywą aplikacją, która po zainstalowaniu prosiła o dostęp do usług ułatwień dostępu. Po uzyskaniu tych uprawnień, malware instalował dodatkowe komponenty, które umożliwiały:

  • Wyświetlanie fałszywych ekranów logowania nad legalnymi aplikacjami bankowymi.

  • Przechwytywanie danych logowania i kodów PIN.

  • Manipulowanie wiadomościami SMS.

  • Zdalne wykonywanie poleceń.

Kampanie podszywające się pod znane marki

IKO (PKO BP)

Fałszywa aplikacja oferowała atrakcyjne oprocentowanie lokat. Po instalacji, prosiła o dostęp do usług ułatwień dostępu, a następnie przejmowała kontrolę nad urządzeniem.

Allegro

Użytkownikom prezentowano oferty rabatowe, które kierowały na fałszywe strony promocyjne. Stamtąd pobierali spreparowaną aplikację, która po zainstalowaniu działała analogicznie do przypadku IKO.

Play

Oszuści symulowali aktualizację aplikacji mobilnej lub ofertę lojalnościową związaną z dodatkowymi gigabajtami. Po zainstalowaniu fałszywej aplikacji, malware przejmował kontrolę nad urządzeniem.

Zaawansowane funkcje Crocodilusa

W najnowszych wersjach, Crocodilus zyskał dodatkowe funkcje:

  • Dodawanie fałszywych kontaktów: Malware może dodawać nowe kontakty do listy kontaktów ofiary, np. "Bank Support", co umożliwia przeprowadzanie ataków socjotechnicznych przez telefon.

  • Kradzież fraz seedowych: Crocodilus potrafi przechwytywać frazy seedowe z aplikacji portfeli kryptowalutowych, co pozwala na kradzież środków.

  • Zaawansowane techniki ukrywania: Malware stosuje obfuskację kodu i szyfrowanie, co utrudnia jego wykrycie przez oprogramowanie antywirusowe.

Zalecenia dla użytkowników

  • Instaluj aplikacje tylko z oficjalnych źródeł: Unikaj instalowania aplikacji z nieznanych źródeł lub linków otrzymanych w wiadomościach.

  • Uważaj na reklamy w mediach społecznościowych: Nie klikaj w podejrzane reklamy oferujące zbyt dobre, by były prawdziwe, promocje.

  • Regularnie aktualizuj system i aplikacje: Aktualizacje często zawierają poprawki bezpieczeństwa.

  • Zainstaluj renomowane oprogramowanie antywirusowe: Dobre oprogramowanie zabezpieczające może wykryć i zablokować malware.

Wnioski

Kampania Crocodilus w Polsce pokazuje, jak cyberprzestępcy wykorzystują zaufanie do znanych marek i zaawansowane techniki socjotechniczne, aby infekować urządzenia mobilne. Użytkownicy powinni zachować szczególną ostrożność i stosować się do zaleceń bezpieczeństwa, aby uniknąć stania się ofiarą tego typu ataków.