Oferta rabatowa na wiele licencji
Baza danych zagrożeń Mobilne złośliwe oprogramowanie Trojan bankowy Crocodilus

Trojan bankowy Crocodilus

Do Mezo w Mobilne złośliwe oprogramowanie, Trojan bankowy
Przetłumacz na:
Polski

Eksperci ds. cyberbezpieczeństwa odkryli nowe bankowe oprogramowanie złośliwe na Androida o nazwie Crocodilus, które atakuje przede wszystkim użytkowników w Hiszpanii i Turcji. W przeciwieństwie do wielu pojawiających się zagrożeń, które zaczynają się jako prymitywne wersje istniejącego złośliwego oprogramowania, Crocodilus wkracza na scenę cyberprzestępczości jako w pełni rozwinięty, wyrafinowany bankowy trojan.

Zaawansowane techniki dla maksymalnych zniszczeń

Crocodilus stosuje nowoczesne techniki takie jak:

  • Możliwości zdalnego sterowania
  • Czarne nakładki ekranu ukrywają jego obecność
  • Zaawansowane zbieranie danych poprzez rejestrowanie dostępności

Podobnie jak inne trojany bankowe, ma na celu przejęcie urządzenia (DTO) i umożliwienie cyberprzestępcom przeprowadzania oszukańczych transakcji. Głębsza analiza kodu źródłowego i komunikatów debugowania sugeruje, że autor złośliwego oprogramowania mówi po turecku.

Podszywa się pod Google Chrome, aby uniknąć wykrycia

Crocodilus został zaprojektowany tak, aby ominąć ograniczenia bezpieczeństwa Androida 13+, podszywając się pod Google Chrome (nazwa pakietu: „quizzical.washbowl.calamity”). Po zainstalowaniu fałszywa aplikacja żąda uprawnień usługi ułatwień dostępu, co daje jej pełną kontrolę nad urządzeniem.

Po aktywacji łączy się ze zdalnym serwerem Command-and-Control (C2), aby:

  • Otrzymaj dalsze instrukcje
  • Pobierz listę docelowych aplikacji finansowych
  • Wdrażaj nakładki HTML, aby kraść dane uwierzytelniające użytkowników

Portfele kryptowalut na celowniku

Crocodilus nie ogranicza się tylko do aplikacji bankowych — atakuje również portfele kryptowalut. Zamiast używać fałszywej strony logowania, oszukuje ofiary fałszywym alertem kopii zapasowej, ostrzegając je, aby zapisały swoją frazę początkową w ciągu 12 godzin lub ryzykowały utratę aktywów.

Ta taktyka inżynierii społecznej manipuluje ofiarami, aby nawigowały do swoich fraz źródłowych, które są następnie zbierane za pośrednictwem nadużyć usług dostępności. Dzięki tym informacjom atakujący mogą przejąć kontrolę nad portfelem i opróżnić jego fundusze.

Ciągły monitoring i kradzież danych uwierzytelniających

Crocodilus jest zaprojektowany do ciągłego działania w tle, uważnie obserwując uruchamianie aplikacji i wyzwalając nakładki w celu przechwytywania poświadczeń. Może:

  • Monitoruj wszystkie zdarzenia związane z dostępnością
  • Przechwyć wszystkie elementy wyświetlane na ekranie
  • Zrób zrzuty ekranu aplikacji Google Authenticator, aby ominąć uwierzytelnianie dwuskładnikowe

Dzięki temu Crocodilus ma pewność, że jego operatorzy nie zauważą żadnej aktywności związanej z logowaniem.

Tryb ukrycia: ukrywanie szkodliwych działań

Aby pozostać niewykrytym, Crocodilus stosuje różne taktyki skradania się, w tym:

  • Wyświetlanie czarnej nakładki ekranowej w celu ukrycia nieautoryzowanych działań
  • Wyciszanie dźwięków, aby ofiary nie słyszały podejrzanych alertów

Dzięki tym środkom ofiarom znacznie trudniej jest zorientować się, że ich urządzenia zostały naruszone.

Potężny arsenał niszczących cech

Crocodilus został zaprojektowany z szeregiem groźnych możliwości, które pozwalają mu przejąć pełną kontrolę nad zainfekowanym urządzeniem. Może uruchamiać określone aplikacje, usuwać się z urządzenia, aby uniknąć wykrycia, i wysyłać powiadomienia push, aby manipulować zachowaniem użytkownika. Złośliwe oprogramowanie ma również możliwość wysyłania wiadomości SMS do wybranych lub wszystkich kontaktów, pobierania list kontaktów i pobierania listy zainstalowanych aplikacji, dając atakującym kompleksowy obraz cyfrowego śladu ofiary.

Ponadto Crocodilus może odczytywać wiadomości SMS, żądać uprawnień administratora urządzenia, aby uzyskać głębszą kontrolę i aktywować tryb czarnej nakładki, aby ukryć swoje niebezpieczne działania. Regularnie aktualizuje ustawienia serwera Command-and-Control (C2), zapewniając możliwość dostosowywania się i reagowania na nowe instrukcje od operatorów. Aby zwiększyć swoje ukryte operacje, może włączać lub wyłączać dźwięk, przełączać rejestrowanie klawiszy, aby przechwytywać dane wejściowe użytkownika, a nawet stać się domyślnym menedżerem SMS, co pozwala mu przechwytywać i manipulować komunikacją bez wykrycia.

Crocodilus: Nowe zagrożenie dla bankowości mobilnej

Pojawienie się Crocodilus oznacza niebezpieczną eskalację wyrafinowania złośliwego oprogramowania bankowości mobilnej. W przeciwieństwie do wielu nowo odkrytych zagrożeń, Crocodilus jest dojrzały od samego początku, wykorzystując zaawansowane techniki przejmowania urządzeń, funkcje zdalnego sterowania i ataki black overlay w celu narażenia użytkowników na ataki.

Dzięki ukryciu i rozbudowanemu zestawowi funkcji to złośliwe oprogramowanie wyznacza nowy standard w dziedzinie zagrożeń bankowych dla systemu Android, udowadniając, że cyberprzestępcy nieustannie udoskonalają swoje taktyki, aby wyprzedzać środki bezpieczeństwa.

 

Popularne

Najczęściej oglądane

Ładowanie...