Polacy na celowniku hakerów

Na początku 2025 roku cyberbezpieczeństwo stanęło przed nowym wyzwaniem. Eksperci z firmy ThreatFabric zidentyfikowali niebezpieczne złośliwe oprogramowanie o nazwie Crocodilus, które w zastraszającym tempie rozprzestrzenia się po całym globie. Ten wyrafinowany malware skupia się przede wszystkim na kradzieży danych z aplikacji bankowych i portfeli kryptowalutowych.

Pierwszy raz Crocodilus został wykryty w marcu 2025 roku w Turcji, gdzie cyberprzestępcy wykorzystywali go do podszywania się pod popularne kasyna online oraz aplikacje bankowe. Sukces tej operacji zachęcił hakerów do rozszerzenia działalności na inne kraje. Obecnie złośliwe oprogramowanie aktywnie działa w Polsce, Hiszpanii, Argentynie, Brazylii, Indiach, Indonezji oraz Stanach Zjednoczonych.

Polska pod ostrzałem fałszywych reklam

W naszym kraju przestępcy obrali szczególnie podstępną strategię. Wykorzystują oni reklamy na Facebooku, które promują rzekome aplikacje lojalnościowe oferujące atrakcyjne korzyści. Po kliknięciu w taką reklamę użytkownik zostaje przekierowany na złośliwą stronę internetową, która automatycznie instaluje na jego urządzeniu tzw. droppera.

Ten specjalny komponent stanowi bramę dla właściwego wirusa i potrafi obejść zabezpieczenia nawet najnowszych wersji systemu Android, włączając w to wersje 13 i wyższe. Skuteczność tej kampanii okazała się przerażająca – w ciągu zaledwie kilku godzin dotarła do tysięcy polskich użytkowników, szczególnie skutecznie celując w osoby powyżej 35. roku życia.

Zaawansowane techniki oszustwa

Crocodilus wyróżnia się niezwykle wyrafinowanymi metodami działania. Po pomyślnej instalacji na urządzeniu, malware potrafi nakładać fałszywe ekrany logowania na autentyczne aplikacje bankowe i kryptowalutowe. Użytkownik, nie zdając sobie sprawy z zagrożenia, wprowadza swoje dane dostępu bezpośrednio do rąk cyberprzestępców.

W Hiszpanii przestępcy zastosowali jeszcze bardziej podstępną taktykę – Crocodilus udawał aktualizację przeglądarki internetowej i systematycznie atakował niemal wszystkie większe instytucje bankowe w kraju.

Nowe funkcje zwiększają zagrożenie

Najnowsza wersja malware'u wprowadziła funkcjonalności, które znacząco zwiększają jego niebezpieczeństwo. Program potrafi teraz edytować książkę adresową w telefonie ofiary, dodając numery telefonów oznaczone jako "Wsparcie bankowe". Ta pozornie niewinna zmiana umożliwia przestępcom skuteczne stosowanie technik socjotechnicznych podczas bezpośrednich rozmów telefonicznych z ofiarami.

Jednak prawdziwą rewolucją w działaniu Crocodilusa jest implementacja funkcji automatycznego pozyskiwania fraz seedowych i kluczy prywatnych z portfeli kryptowalutowych. Dzięki tej zdolności atakujący mogą błyskawicznie przejąć pełną kontrolę nad cyfrowymi środkami swojej ofiary, często zanim ta zdąży zareagować.

Przypadkowe rozpowszechnianie malware'u

W maju 2025 roku ujawniono także bulwersujący przypadek nieumyślnego rozpowszechniania złośliwego oprogramowania. Okazało się, że chiński producent drukarek Procolored przypadkowo dołączał malware kradnący Bitcoiny do oficjalnych sterowników swoich urządzeń. Ten incydent pokazuje, jak skomplikowane staje się środowisko cyberbezpieczeństwa i jak łatwo złośliwe oprogramowanie może dotrzeć do użytkowników końcowych przez pozornie zaufane kanały dystrybucji.