Crocodilus Banking Trojan
اكتشف خبراء الأمن السيبراني برنامجًا خبيثًا مصرفيًا جديدًا لأجهزة أندرويد يُدعى "كروكوديلوس"، يستهدف بشكل رئيسي المستخدمين في إسبانيا وتركيا. بخلاف العديد من التهديدات الناشئة التي تبدأ كنسخ بدائية من برامج خبيثة موجودة، يدخل "كروكوديلوس" عالم الجرائم الإلكترونية كحصان طروادة مصرفي متطور ومتطور بالكامل.
جدول المحتويات
تقنيات متقدمة لتحقيق أقصى قدر من الضرر
يستخدم كروكوديلوس تقنيات حديثة مثل:
- إمكانيات التحكم عن بعد
- تراكبات الشاشة السوداء لإخفاء وجودها
- الحصاد المتقدم للبيانات من خلال تسجيل إمكانية الوصول
مثل أحصنة طروادة المصرفية الأخرى، يهدف هذا البرنامج الخبيث إلى الاستيلاء على جهاز (DTO) والسماح لمجرمي الإنترنت بإجراء معاملات احتيالية. يشير تحليل أعمق لشيفرته المصدرية ورسائل تصحيح أخطائه إلى أن مُنشئه ناطق باللغة التركية.
متخفيًا في صورة Google Chrome لتجنب الاكتشاف
صُمم تطبيق Crocodilus لتجاوز قيود أمان نظام التشغيل Android 13+ من خلال التظاهر بأنه متصفح Google Chrome (اسم الحزمة: 'quizzical.washbowl.calamity'). بمجرد تثبيته، يطلب التطبيق الوهمي أذونات الوصول، مما يمنحه تحكمًا كاملاً في الجهاز.
عند التنشيط، فإنه يتصل بخادم التحكم والقيادة (C2) عن بعد من أجل:
- تلقي مزيد من التعليمات
- جلب قائمة التطبيقات المالية المستهدفة
- نشر تراكبات HTML لسرقة بيانات اعتماد المستخدم
محافظ العملات المشفرة في مرمى النيران
لا يقتصر هجوم كروكوديلس على التطبيقات المصرفية فحسب، بل يستهدف أيضًا محافظ العملات المشفرة. فبدلًا من استخدام صفحة تسجيل دخول مزيفة، يخدع الضحايا بتنبيه احتياطي احتيالي، يحذرهم من حفظ بياناتهم الأساسية خلال 12 ساعة وإلا سيخسرون أصولهم.
يتلاعب هذا التكتيك الهندسي الاجتماعي بالضحايا ليتمكنوا من الوصول إلى عباراتهم الأولية، والتي يتم حصدها لاحقًا عبر إساءة استخدام خدمات الوصول. باستخدام هذه المعلومات، يستطيع المهاجمون السيطرة على المحفظة واستنزاف أموالها.
المراقبة المستمرة وسرقة بيانات الاعتماد
تم تصميم Crocodilus للعمل باستمرار في الخلفية، مع مراقبة دقيقة لعمليات تشغيل التطبيقات وتشغيل تراكبات لاعتراض بيانات الاعتماد. يمكنه:
- مراقبة جميع أحداث إمكانية الوصول
- التقاط جميع العناصر المعروضة على الشاشة
- التقط لقطات شاشة لتطبيق Google Authenticator لتجاوز المصادقة الثنائية
ومن خلال القيام بذلك، يضمن Crocodilus أن مشغليه لن يلاحظوا أي نشاط تسجيل دخول.
وضع التخفي: إخفاء الأنشطة الضارة
لكي يظل غير مكتشف، يستخدم كروكوديلوس تكتيكات خفية مختلفة، بما في ذلك:
- عرض شاشة سوداء لإخفاء الأنشطة غير المصرح بها
- كتم الأصوات لمنع الضحايا من سماع التنبيهات المشبوهة
وتجعل هذه التدابير من الصعب للغاية على الضحايا إدراك أن أجهزتهم قد تعرضت للاختراق.
ترسانة قوية من الميزات المدمرة
صُمم برنامج Crocodilus بمجموعة من القدرات التهديدية التي تتيح له السيطرة الكاملة على الجهاز المصاب. يمكنه تشغيل تطبيقات محددة، وحذف نفسه من الجهاز لتجنب الكشف، وإرسال إشعارات فورية للتلاعب بسلوك المستخدم. كما يتمتع البرنامج الخبيث بالقدرة على إرسال رسائل نصية قصيرة إلى جهات اتصال محددة أو جميعها، واسترجاع قوائم جهات الاتصال، وجلب قائمة بالتطبيقات المثبتة، مما يمنح المهاجمين رؤية شاملة للبصمة الرقمية للضحية.
بالإضافة إلى ذلك، يستطيع كروكوديلس قراءة رسائل SMS، وطلب صلاحيات مسؤول الجهاز للحصول على تحكم أعمق، وتفعيل وضع التراكب الأسود لإخفاء أنشطته غير الآمنة. ويُحدّث إعدادات خادم القيادة والتحكم (C2) بانتظام، مما يضمن قدرته على التكيف والاستجابة للتعليمات الجديدة من مشغليه. ولتعزيز عملياته الخفية، يمكنه تفعيل الصوت أو تعطيله، وتشغيل خاصية تسجيل المفاتيح لالتقاط مدخلات المستخدم، بل وحتى تعيين نفسه مدير الرسائل النصية القصيرة الافتراضي، مما يسمح له باعتراض الاتصالات والتلاعب بها دون أن يُكتشف أمره.
كروكوديلوس: تهديد جديد للخدمات المصرفية عبر الهاتف المحمول
يُمثل ظهور كروكوديلس تصعيدًا خطيرًا في تطور البرمجيات الخبيثة التي تستهدف الخدمات المصرفية عبر الهاتف المحمول. على عكس العديد من التهديدات المُكتشفة حديثًا، يتميز كروكوديلس بنضجه منذ البداية، حيث يستغل تقنيات متقدمة للسيطرة على الأجهزة، وميزات التحكم عن بُعد، وهجمات التراكب الأسود لاختراق المستخدمين.
بفضل تنفيذها الخفي ومجموعة الميزات القوية، تضع هذه البرمجيات الخبيثة سابقة جديدة للتهديدات المصرفية التي تستهدف أجهزة Android، مما يثبت أن مجرمي الإنترنت يعملون باستمرار على تحسين تكتيكاتهم للبقاء في صدارة التدابير الأمنية.
