Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Mobiele malware Crocodilus Banking Trojan

Crocodilus Banking Trojan

Tegen Mezo in Mobiele malware, Bankieren Trojan
Vertalen naar:
Nederlands

Cybersecurity-experts hebben een nieuwe Android banking-malware ontdekt, genaamd Crocodilus, die zich voornamelijk richt op gebruikers in Spanje en Turkije. In tegenstelling tot veel opkomende bedreigingen die beginnen als rudimentaire versies van bestaande malware, betreedt Crocodilus het cybercrimelandschap als een volledig ontwikkelde, geavanceerde banking-Trojan.

Geavanceerde technieken voor maximale schade

Crocodilus maakt gebruik van moderne technieken zoals:

  • Mogelijkheden voor afstandsbediening
  • Zwarte schermoverlays om zijn aanwezigheid te verbergen
  • Geavanceerde dataverzameling via toegankelijkheidsregistratie

Net als andere banking-Trojans is het erop gericht om een Device (DTO) over te nemen en cybercriminelen in staat te stellen frauduleuze transacties uit te voeren. Een diepere analyse van de broncode en debugberichten suggereert dat de auteur van de malware Turkstalig is.

Vermomd als Google Chrome om detectie te ontwijken

Crocodilus is ontworpen om de beveiligingsbeperkingen van Android 13+ te omzeilen door zich voor te doen als Google Chrome (pakketnaam: 'quizzical.washbowl.calamity'). Na installatie vraagt de nep-applicatie om toestemmingen voor de toegankelijkheidsservice, waardoor het volledige controle over het apparaat krijgt.

Na activering maakt het verbinding met een externe Command-and-Control (C2)-server om:

  • Ontvang verdere instructies
  • Haal de lijst op met gerichte financiële applicaties
  • Gebruik HTML-overlays om gebruikersgegevens te stelen

Cryptovaluta-wallets in het vizier

Crocodilus beperkt zich niet tot bankapplicaties, maar richt zich ook op cryptocurrency wallets. In plaats van een nep-inlogpagina te gebruiken, misleidt het slachtoffers met een frauduleuze back-upwaarschuwing, die hen waarschuwt om hun seed-zin binnen 12 uur op te slaan of het risico loopt hun activa te verliezen.

Deze social engineering-tactiek manipuleert slachtoffers om naar hun seed-zinnen te navigeren, die vervolgens worden geoogst via misbruik van toegankelijkheidsservices. Met deze informatie kunnen de aanvallers de controle over de wallet overnemen en de fondsen ervan leegtrekken.

Continue bewaking en diefstal van inloggegevens

Crocodilus is ontworpen om permanent op de achtergrond te draaien, nauwlettend toezicht te houden op de lancering van applicaties en overlays te activeren om credentials te onderscheppen. Het kan:

  • Houd alle toegankelijkheidsgebeurtenissen in de gaten
  • Leg alle elementen vast die op het scherm worden weergegeven
  • Maak screenshots van Google Authenticator om tweefactorauthenticatie te omzeilen

Crocodilus zorgt er hiermee voor dat haar beheerders geen enkele inlogactiviteit opmerken.

Stealth-modus: schadelijke activiteiten verbergen

Om onopgemerkt te blijven, gebruikt Crocodilus verschillende stealth-tactieken, waaronder:

  • Een zwart scherm weergeven om ongeautoriseerde activiteiten te verbergen
  • Geluiden dempen om te voorkomen dat slachtoffers verdachte signalen horen

Door deze maatregelen is het voor slachtoffers veel moeilijker om te beseffen dat hun apparaten zijn gehackt.

Een krachtig arsenaal aan schadelijke eigenschappen

Crocodilus is ontworpen met een reeks bedreigende mogelijkheden waarmee het volledige controle kan krijgen over een geïnfecteerd apparaat. Het kan specifieke applicaties starten, zichzelf van het apparaat verwijderen om detectie te voorkomen en pushmeldingen verzenden om het gedrag van de gebruiker te manipuleren. De malware heeft ook de mogelijkheid om sms-berichten te verzenden naar geselecteerde of alle contactpersonen, contactlijsten op te halen en een lijst met geïnstalleerde applicaties op te halen, waardoor aanvallers een uitgebreid beeld krijgen van de digitale voetafdruk van het slachtoffer.

Bovendien kan Crocodilus sms-berichten lezen, Device Admin-rechten aanvragen om meer controle te krijgen en een zwarte overlay-modus activeren om zijn onveilige activiteiten te verbergen. Het werkt zijn Command-and-Control (C2) serverinstellingen regelmatig bij, zodat het zich kan aanpassen en kan reageren op nieuwe instructies van zijn operators. Om zijn stealth-operaties verder te bevorderen, kan het geluid in- of uitschakelen, keylogging in- of uitschakelen om gebruikersinvoer vast te leggen en zichzelf zelfs de standaard-sms-manager maken, zodat het communicatie onopgemerkt kan onderscheppen en manipuleren.

Crocodilus: een nieuwe bedreiging voor mobiel bankieren

De opkomst van Crocodilus markeert een onveilige escalatie in de verfijning van malware voor mobiel bankieren. In tegenstelling tot veel nieuw ontdekte bedreigingen is Crocodilus vanaf het begin volwassen en maakt gebruik van geavanceerde Device-Takeover-technieken, functies voor afstandsbediening en black overlay-aanvallen om gebruikers te compromitteren.

Dankzij de sluipende uitvoering en de robuuste functies van deze malware ontstaat er een nieuw precedent voor Android-bedreigingen. Het bewijst dat cybercriminelen hun tactieken voortdurend verbeteren om de beveiligingsmaatregelen voor te blijven.


Trending

Meest bekeken

Bezig met laden...