Crocodilus bančni trojanec

Strokovnjaki za kibernetsko varnost so odkrili novo zlonamerno programsko opremo za bančništvo Android z imenom Crocodilus, ki cilja predvsem na uporabnike v Španiji in Turčiji. Za razliko od mnogih nastajajočih groženj, ki se začnejo kot rudimentarne različice obstoječe zlonamerne programske opreme, Crocodilus vstopa v pokrajino kibernetske kriminalitete kot popolnoma razvit, sofisticiran bančni trojanec.

Napredne tehnike za največjo škodo

Crocodilus uporablja sodobne tehnike, kot so:

• Možnosti daljinskega upravljanja
• Prekrivni črni zaslon za skrivanje njegove prisotnosti
• Napredno zbiranje podatkov prek beleženja dostopnosti

Tako kot drugi bančni trojanci si prizadeva prevzeti napravo (DTO) in kibernetskim kriminalcem omogočiti izvajanje goljufivih transakcij. Poglobljena analiza izvorne kode in sporočil o odpravljanju napak kaže, da je avtor zlonamerne programske opreme turško govoreči.

Preoblečen v Google Chrome, da se izogne zaznavanju

Crocodilus je zasnovan tako, da zaobide varnostne omejitve sistema Android 13+ z maskiranjem v Google Chrome (ime paketa: 'quizzical.washbowl.calamity'). Ko je nameščena, lažna aplikacija zahteva dovoljenja storitve dostopnosti, kar ji zagotavlja popoln nadzor nad napravo.

Po aktivaciji se poveže z oddaljenim strežnikom Command-and-Control (C2) za:

• Prejmite nadaljnja navodila
• Pridobite seznam ciljnih finančnih aplikacij
• Namestite prekrivke HTML za krajo uporabniških poverilnic

Denarnice za kriptovalute v križišču

Crocodilus se ne ustavi le pri bančnih aplikacijah – cilja tudi na denarnice za kriptovalute. Namesto da bi uporabil lažno stran za prijavo, žrtve pretenta z goljufivim varnostnim opozorilom, ki jih opozori, naj svojo začetno frazo shranijo v 12 urah ali tvegajo izgubo svojih sredstev.

Ta taktika družbenega inženiringa manipulira z žrtvami, da se pomaknejo do svojih začetnih besednih zvez, ki se nato pridobijo z zlorabo storitve dostopnosti. S temi informacijami lahko napadalci prevzamejo nadzor nad denarnico in izčrpajo njena sredstva.

Neprekinjeno spremljanje in kraja poverilnic

Crocodilus je zasnovan tako, da vztrajno deluje v ozadju, pri čemer pozorno spremlja zagone aplikacij in sproži prekrivanja za prestrezanje poverilnic. Lahko:

• Spremljajte vse dogodke dostopnosti
• Zajemite vse elemente, prikazane na zaslonu
• Posnemite posnetke zaslona Google Authenticatorja, da zaobidete dvostopenjsko avtentikacijo

S tem Crocodilus zagotavlja, da njegovi operaterji ne opazijo nobene dejavnosti prijave.

Prikriti način: Skrivanje škodljivih dejavnosti

Da ostane neodkrit, Crocodilus uporablja različne prikrite taktike, vključno z:

• Prikaz prekrivnega črnega zaslona za skrivanje nepooblaščenih dejavnosti
• Utišanje zvokov, da preprečite žrtvam, da bi slišale sumljiva opozorila

Zaradi teh ukrepov žrtve veliko težje spoznajo, da so bile njihove naprave ogrožene.

Močan arzenal škodljivih funkcij

Crocodilus je zasnovan z vrsto nevarnih zmožnosti, ki mu omogočajo popoln nadzor nad okuženo napravo. Lahko zažene določene aplikacije, se odstrani iz naprave, da se izogne zaznavanju, in pošlje potisna obvestila za manipulacijo vedenja uporabnika. Zlonamerna programska oprema ima tudi možnost pošiljanja SMS sporočil izbranim ali vsem stikom, pridobivanje seznamov stikov in pridobivanje seznama nameščenih aplikacij, kar napadalcem omogoča izčrpen vpogled v digitalni odtis žrtve.

Poleg tega lahko Crocodilus bere sporočila SMS, zahteva privilegije skrbnika naprave za pridobitev globljega nadzora in aktivira način črnega prekrivanja, da prikrije svoje nevarne dejavnosti. Redno posodablja nastavitve strežnika Command-and-Control (C2), s čimer zagotavlja, da se lahko prilagodi in odzove na nova navodila svojih operaterjev. Za izboljšanje svojih prikritih operacij lahko omogoči ali onemogoči zvok, preklaplja beleženje tipkovnice, da zajame uporabniške vnose, in se celo postavi za privzetega upravitelja sporočil SMS, kar mu omogoča neopaženo prestrezanje in manipuliranje komunikacij.

Crocodilus: nova grožnja mobilnega bančništva

Pojav Crocodilusa označuje nevarno stopnjevanje prefinjenosti zlonamerne programske opreme za mobilno bančništvo. Za razliko od mnogih na novo odkritih groženj je Crocodilus zrel že od samega začetka, saj uporablja napredne tehnike prevzema naprav, funkcije daljinskega upravljanja in napade s črnim prekrivanjem za ogrožanje uporabnikov.

Ta zlonamerna programska oprema s svojim prikritim izvajanjem in robustnim naborom funkcij postavlja nov precedens za bančne grožnje Android in dokazuje, da kiberkriminalci nenehno izboljšujejo svoje taktike, da bi bili pred varnostnimi ukrepi.