Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós mòbil Crocodilus Banking Troià

Crocodilus Banking Troià

El Mezo el Programari maliciós mòbil, Troià bancari
Traduir a:
Català

Els experts en ciberseguretat han descobert un nou programari maliciós bancari per Android anomenat Crocodilus, que s'adreça principalment als usuaris d'Espanya i Turquia. A diferència de moltes amenaces emergents que comencen com a versions rudimentàries del programari maliciós existent, Crocodilus entra al panorama de la ciberdelinqüència com un troià bancari sofisticat i totalment desenvolupat.

Tècniques avançades per al màxim dany

Crocodilus utilitza tècniques modernes com ara:

  • Capacitats de control remot
  • Superposicions de pantalla negra per ocultar la seva presència
  • Recollida de dades avançada mitjançant el registre d'accessibilitat

Com altres troians bancaris, pretén fer-se càrrec d'un dispositiu (DTO) i permetre als ciberdelinqüents realitzar transaccions fraudulentes. Una anàlisi més profunda del seu codi font i missatges de depuració suggereix que l'autor del programari maliciós parla turc.

Disfressat de Google Chrome per evitar la detecció

Crocodilus està dissenyat per evitar les restriccions de seguretat d'Android 13+ en disfressar-se com a Google Chrome (nom del paquet: 'quizzical.washbowl.calamity'). Un cop instal·lada, l'aplicació falsa sol·licita permisos de servei d'accessibilitat, la qual cosa li atorga un control complet sobre el dispositiu.

Després de l'activació, es connecta a un servidor de comandament i control remot (C2) per:

  • Rebeu més instruccions
  • Obteniu la llista d'aplicacions financeres orientades
  • Desplegueu superposicions HTML per robar les credencials dels usuaris

Carteres de criptomoneda a la mira

Crocodilus no només es limita a les aplicacions bancàries, sinó que també s'adreça a carteres de criptomoneda. En lloc d'utilitzar una pàgina d'inici de sessió falsa, enganya les víctimes amb una alerta de còpia de seguretat fraudulenta, advertint-los que desin la seva frase inicial en 12 hores o arriscar-se a perdre els seus actius.

Aquesta tàctica d'enginyeria social manipula les víctimes perquè naveguin a les seves frases inicials, que després es recullen mitjançant l'abús del servei d'accessibilitat. Amb aquesta informació, els atacants poden prendre el control de la cartera i esgotar-ne els fons.

Supervisió contínua i robatori de credencials

Crocodilus està dissenyat per funcionar de manera persistent en segon pla, vigilant de prop els llançaments d'aplicacions i activant superposicions per interceptar les credencials. Pot:

  • Supervisar tots els esdeveniments d'accessibilitat
  • Captura tots els elements que es mostren a la pantalla
  • Feu captures de pantalla de Google Authenticator per evitar l'autenticació de dos factors

En fer-ho, Crocodilus assegura que els seus operadors no notin cap activitat d'inici de sessió.

Mode sigil: amagar activitats nocives

Per no ser detectat, Crocodilus utilitza diverses tàctiques de sigil, com ara:

  • Mostra una superposició de pantalla negra per ocultar activitats no autoritzades
  • Silenciar els sons per evitar que les víctimes escoltin alertes sospitoses

Aquestes mesures fan que sigui molt més difícil que les víctimes s'adonin que els seus dispositius han estat compromesos.

Un poderós arsenal de funcions perjudicials

Crocodilus està dissenyat amb una sèrie de capacitats amenaçadores que li permeten prendre el control complet d'un dispositiu infectat. Pot llançar aplicacions específiques, eliminar-se del dispositiu per evitar la detecció i enviar notificacions push per manipular el comportament de l'usuari. El programari maliciós també té la capacitat d'enviar missatges SMS a determinats o a tots els contactes, recuperar llistes de contactes i obtenir una llista d'aplicacions instal·lades, donant als atacants una visió completa de la petjada digital de la víctima.

A més, Crocodilus pot llegir missatges SMS, sol·licitar privilegis d'administrador del dispositiu per obtenir un control més profund i activar un mode de superposició negra per ocultar les seves activitats insegures. Actualitza regularment la configuració del servidor de comandament i control (C2), assegurant-se que es pot adaptar i respondre a noves instruccions dels seus operadors. Per afavorir les seves operacions sigils, pot activar o desactivar el so, canviar el registre de tecles per capturar les entrades de l'usuari i fins i tot convertir-se en el gestor d'SMS predeterminat, cosa que li permet interceptar i manipular comunicacions sense detectar-se.

Crocodilus: una nova amenaça per a la banca mòbil

L'aparició de Crocodilus marca una escalada insegura en la sofisticació del programari maliciós de banca mòbil. A diferència de moltes amenaces descobertes recentment, Crocodilus és madur des del principi, aprofitant tècniques avançades de presa de control de dispositius, funcions de control remot i atacs de superposició negra per comprometre els usuaris.

Amb la seva execució sigilosa i un conjunt robust de funcions, aquest programari maliciós estableix un nou precedent per a les amenaces bancàries d'Android, demostrant que els ciberdelinqüents milloren constantment les seves tàctiques per mantenir-se al davant de les mesures de seguretat.

 

Tendència

Més vist

Carregant...