Bezpečnostní experti z firmy Threat Fabric odhalili trojana Crocodilus už v březnu 2025, kdy ho označili za „vysoce schopný mobilní bankovní malware“. V té době už uměl napodobit vzhled legitimních aplikací (tzv. overlay útoky), zaznamenávat stisknuté klávesy nebo zneužívat přístupové služby systému Android. Tím získával přístup k bankovním účtům, kryptopeněženkám a dalším citlivým datům.

Nová varianta tohoto malwaru však přichází s funkcí, která posouvá podvody na novou úroveň. Po přijetí specifického příkazu „TRU9MMRHBCRO“ dokáže Crocodilus přidat do kontaktů oběti falešné číslo, které se například tváří jako Bankovní podpora. Díky tomu může útočník telefonovat pod touto identitou – a oběť se tak snadno nechá napálit.

Důmyslné obcházení bezpečnostních systémů

Podle výzkumníků z Threat Fabric se nejedná pouze o zvyšování důvěryhodnosti. Falešné kontakty pomáhají útočníkům obejít automatické kontroly, které mají za úkol blokovat neznámá čísla. Oběti si navíc často nevšimnou, že jim v telefonu přibyl nový kontakt – zejména pokud má důvěryhodné jméno.

Zdroj: Shutterstock

Dobrou zprávou je, že falešný kontakt zůstává pouze v daném zařízení a nesynchronizuje se s Google účtem, takže se nešíří na další zařízení připojená ke stejnému účtu.

Globální šíření a nové metody útoků

Crocodilus byl původně zaměřen hlavně na uživatele v Turecku. Nyní se však rozšiřuje globálně. Nová verze je navíc vybavena vylepšenými funkcemi pro obcházení antivirových ochran, což výrazně ztěžuje jeho odhalení.

Jako většina podobných škodlivých aplikací, i Crocodilus se šíří hlavně přes falešné nebo neoficiální obchody s aplikacemi, sociální sítě nebo podvodné e-maily. Uživatelé by proto měli být extrémně opatrní při instalaci nových aplikací.