New Android malware Crocodilus spreads worldwide

حصان طروادة Crocodilus لنظام أندرويد ينشط الآن في 8 دول ويستهدف البنوك ومحافظ العملات الرقمية

عدد متزايد من الحملات الخبيثة استغلت حصان طروادة المصرفي المكتشف مؤخرًا لنظام أندرويد والذي يُعرف باسم Crocodilus لاستهداف المستخدمين في أوروبا وأمريكا الجنوبية.

وفقًا لتقرير جديد نشرته شركة ThreatFabric، فقد تبنى هذا البرنامج الخبيث أيضًا تقنيات تمويه مُحسّنة بهدف إعاقة التحليل والكشف، ويشمل كذلك قدرة على إنشاء جهات اتصال جديدة ضمن قائمة جهات الاتصال في جهاز الضحية.

وقالت شركة الأمن السيبراني الهولندية: "تشير الأنشطة الأخيرة إلى حملات متعددة تستهدف الآن دولًا أوروبية، مع استمرار الحملات في تركيا وتوسعها عالميًا لتشمل أمريكا الجنوبية."

تم توثيق Crocodilus لأول مرة بشكل علني في مارس 2025، حيث استهدف مستخدمي أجهزة أندرويد في إسبانيا وتركيا من خلال التظاهر بأنه تطبيقات شرعية مثل Google Chrome. ويحتوي هذا البرنامج على قدرات لتنفيذ هجمات التراكب (Overlay Attacks) ضد تطبيقات مالية يتم جلب قائمتها من خادم خارجي من أجل سرقة بيانات الاعتماد.

كما يستغل الأذونات الخاصة بخدمات الوصول (Accessibility Services) لالتقاط عبارات الاستعادة المرتبطة بمحافظ العملات الرقمية، والتي يمكن استخدامها لاحقًا لسحب الأصول الافتراضية المخزنة داخلها.

تشير أحدث النتائج من ThreatFabric إلى توسّع النطاق الجغرافي لهذا البرنامج الضار بالإضافة إلى استمرار تطويره بميزات جديدة ومحسّنة، مما يدل على أنه لا يزال تحت صيانة نشطة من قِبل مشغليه.

وقد وُجد أن بعض الحملات التي استهدفت بولندا استغلت إعلانات وهمية على فيسبوك كوسيلة للتوزيع من خلال انتحال صفة بنوك ومنصات تجارة إلكترونية. وتقوم هذه الإعلانات بخداع الضحايا لتنزيل تطبيق بحجة الحصول على نقاط مكافأة، ويتم توجيههم إلى موقع خبيث يثبت ملفًا ضارًا يحتوي على Crocodilus.

أما الموجات الأخرى من الهجمات التي استهدفت المستخدمين في إسبانيا وتركيا فقد انتحلت صفة تحديث لمتصفح الإنترنت أو كازينو إلكتروني. وتشمل الدول الأخرى التي استُهدفت بالبرمجية: الأرجنتين، البرازيل، الهند، إندونيسيا، والولايات المتحدة.

بالإضافة إلى تقنيات التمويه المختلفة التي تُصعّب عملية تحليل الكود، فإن الإصدارات الجديدة من Crocodilus تملك القدرة على إضافة جهة اتصال معينة إلى قائمة جهات الاتصال لدى الضحية بمجرد تلقي الأمر "TRU9MMRHBCRO".

ويُشتبه في أن هذه الميزة تم تصميمها كإجراء مضاد للحماية الجديدة التي أضافتها جوجل لنظام أندرويد، والتي تقوم بتنبيه المستخدمين من محاولات الاحتيال عند تشغيل تطبيقات بنكية أثناء مشاركة الشاشة مع جهة غير معروفة.

وقالت ThreatFabric: "نعتقد أن الغرض هو إضافة رقم هاتف تحت اسم مقنع مثل 'دعم البنك'، مما يسمح للمهاجم بالاتصال بالضحية مع الظهور كمصدر موثوق. يمكن أن يساعد ذلك أيضًا في تجاوز أنظمة منع الاحتيال التي تُبلغ عن الأرقام غير المعروفة."

وتشمل ميزة أخرى جديدة جامع تلقائي لعبارات الاستعادة (Seed Phrase) يستخدم محللًا لاستخراج العبارات والمفاتيح الخاصة لمحافظ العملات الرقمية المحددة.

وقالت الشركة: "تشير الحملات الأخيرة التي تتضمن حصان طروادة المصرفي Crocodilus إلى تطور مقلق من حيث التعقيد الفني للبرمجية ونطاقها التشغيلي. ومن اللافت أن حملاتها لم تعد مقصورة على مناطق معينة، حيث امتدت البرمجية إلى مناطق جغرافية جديدة، مما يؤكد تحولها إلى تهديد عالمي حقيقي."