Crocodilus Banking Trojan

מומחי אבטחת סייבר חשפו תוכנה זדונית חדשה לבנקאות אנדרואיד בשם Crocodilus, אשר מכוונת בעיקר למשתמשים בספרד ובטורקיה. בניגוד לאיומים מתעוררים רבים שמתחילים כגרסאות ראשוניות של תוכנות זדוניות קיימות, Crocodilus נכנס לנוף פשעי הסייבר כטרויאני בנקאי מפותח ומתוחכם.

טכניקות מתקדמות לנזק מירבי

Crocodilus משתמש בטכניקות מודרניות כגון:

• יכולות שלט רחוק
• שכבות מסך שחורות כדי להסתיר את נוכחותו
• איסוף נתונים מתקדם באמצעות רישום נגישות

כמו סוסים טרויאניים בנקאיים אחרים, היא שואפת להשתלט על מכשיר (DTO) ולאפשר לפושעי סייבר לבצע עסקאות הונאה. ניתוח מעמיק יותר של קוד המקור והודעות ניפוי הבאגים מעלה שמחבר התוכנה הזדונית דובר טורקית.

מחופש ל-Google Chrome כדי להתחמק מזיהוי

Crocodilus נועד לעקוף את מגבלות האבטחה של Android 13+ על ידי התחזות ל-Google Chrome (שם החבילה: 'quizzical.washbowl.calamity'). לאחר ההתקנה, האפליקציה המזויפת מבקשת הרשאות שירות נגישות, מה שמקנה לה שליטה מלאה על המכשיר.

לאחר ההפעלה, הוא מתחבר לשרת פיקוד ושליטה מרוחק (C2) כדי:

• קבל הנחיות נוספות
• קבל את רשימת היישומים הפיננסיים הממוקדים
• פרוס שכבות HTML כדי לגנוב אישורי משתמש

ארנקי מטבעות קריפטו על הכוונת

Crocodilus לא עוצר רק ביישומים בנקאיים - הוא מכוון גם לארנקים של מטבעות קריפטוגרפיים. במקום להשתמש בדף התחברות מזויף, הוא מרמה את הקורבנות באמצעות התראת גיבוי הונאה, מזהיר אותם לשמור את ביטוי המקור שלהם בתוך 12 שעות או להסתכן באובדן נכסיהם.

טקטיקת הנדסה חברתית זו מפעילה מניפולציות על קורבנות כדי לנווט אל ביטויי הזרע שלהם, אשר נקצרים לאחר מכן באמצעות שימוש לרעה בשירותי נגישות. בעזרת מידע זה, התוקפים יכולים להשתלט על הארנק ולרוקן את כספיו.

ניטור רציף וגניבת אישורים

Crocodilus נועד לרוץ בהתמדה ברקע, לעקוב מקרוב אחר השקות אפליקציות ולהפעיל שכבות-על ליירוט אישורים. זה יכול:

• מעקב אחר כל אירועי הנגישות
• ללכוד את כל האלמנטים המוצגים על המסך
• צלם צילומי מסך של Google Authenticator כדי לעקוף אימות דו-גורמי

בכך, Crocodilus מבטיחה שהמפעילים שלה לא יבחינו בפעילות התחברות כלשהי.

מצב התגנבות: הסתרת פעילויות מזיקות

כדי להישאר בלתי מזוהה, Crocodilus נוקט טקטיקות התגנבות שונות, כולל:

• הצגת שכבת מסך שחורה כדי להסתיר פעילויות לא מורשות
• השתקת צלילים כדי למנוע מהקורבנות לשמוע התראות חשודות

אמצעים אלה מקשים הרבה יותר על הקורבנות להבין שהמכשירים שלהם נפגעו.

ארסנל רב עוצמה של תכונות מזיקות

Crocodilus מתוכנן עם מגוון של יכולות מאיימות המאפשרות לו להשתלט באופן מוחלט על מכשיר נגוע. הוא יכול להפעיל יישומים ספציפיים, להסיר את עצמו מהמכשיר כדי להימנע מזיהוי ולשלוח הודעות דחיפה כדי לתמרן את התנהגות המשתמש. לתוכנה הזדונית יש גם את היכולת לשלוח הודעות SMS לאנשי קשר נבחרים או לכל אנשי הקשר, לאחזר רשימות אנשי קשר, ולאחזר רשימה של יישומים מותקנים, מה שנותן לתוקפים מבט מקיף על טביעת הרגל הדיגיטלית של הקורבן.

בנוסף, Crocodilus יכול לקרוא הודעות SMS, לבקש הרשאות ניהול מכשיר כדי להשיג שליטה עמוקה יותר ולהפעיל מצב שכבת-על שחורה כדי להסתיר את הפעילויות הלא בטוחות שלו. הוא מעדכן בקביעות את הגדרות שרת ה-Command-and-Control (C2) שלו, ומבטיח שהוא יכול להסתגל ולהגיב להוראות חדשות מהמפעילים שלו. כדי לקדם את פעולות ההתגנבות שלו, הוא יכול להפעיל או להשבית את הסאונד, לשנות את רישום המקשים כדי ללכוד קלט של משתמשים, ואפילו להפוך את עצמו למנהל ה-SMS ברירת המחדל, מה שמאפשר לו ליירט ולתפעל תקשורת שלא זוהתה.

קרוקודילוס: איום חדש של בנקאות ניידת

הופעתו של Crocodilus מסמנת הסלמה לא בטוחה בתחכום של תוכנות זדוניות בבנקאות ניידת. בניגוד לאיומים רבים שהתגלו לאחרונה, Crocodilus בשלה מההתחלה, וממנפת טכניקות מתקדמות ל-Device-Takeover, תכונות שלט רחוק והתקפות שכבות שחורות כדי לסכן משתמשים.

עם הביצוע החמקן ומערך התכונות החזק שלה, תוכנה זדונית זו מהווה תקדים חדש לאיומי בנקאות אנדרואיד, ומוכיחה כי פושעי סייבר משפרים כל הזמן את הטקטיקות שלהם כדי להקדים את אמצעי האבטחה.