Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại di động Trojan ngân hàng Crocodilus

Trojan ngân hàng Crocodilus

Đến năm Mezo năm Phần mềm độc hại di động, Trojan ngân hàng
Dịch sang:
Tiếng Việt Nam

Các chuyên gia an ninh mạng đã phát hiện ra một phần mềm độc hại ngân hàng Android mới có tên là Crocodilus, chủ yếu nhắm vào người dùng ở Tây Ban Nha và Thổ Nhĩ Kỳ. Không giống như nhiều mối đe dọa mới nổi bắt đầu từ các phiên bản thô sơ của phần mềm độc hại hiện có, Crocodilus xâm nhập vào bối cảnh tội phạm mạng như một Trojan ngân hàng tinh vi, được phát triển đầy đủ.

Kỹ thuật tiên tiến để gây sát thương tối đa

Crocodilus sử dụng các kỹ thuật hiện đại như:

  • Khả năng điều khiển từ xa
  • Màn hình đen phủ lên để ẩn sự hiện diện của nó
  • Thu thập dữ liệu nâng cao thông qua ghi nhật ký khả năng truy cập

Giống như các Trojan ngân hàng khác, nó nhằm mục đích chiếm quyền điều khiển một Thiết bị (DTO) và cho phép tội phạm mạng thực hiện các giao dịch gian lận. Phân tích sâu hơn về mã nguồn và thông báo gỡ lỗi cho thấy tác giả phần mềm độc hại nói tiếng Thổ Nhĩ Kỳ.

Ngụy trang thành Google Chrome để tránh bị phát hiện

Crocodilus được thiết kế để vượt qua các hạn chế bảo mật của Android 13+ bằng cách ngụy trang thành Google Chrome (tên gói: 'quizzical.washbowl.calamity'). Sau khi cài đặt, ứng dụng giả mạo này sẽ yêu cầu cấp quyền dịch vụ trợ năng, cấp cho nó quyền kiểm soát hoàn toàn đối với thiết bị.

Sau khi kích hoạt, nó sẽ kết nối với máy chủ Command-and-Control (C2) từ xa để:

  • Nhận thêm hướng dẫn
  • Lấy danh sách các ứng dụng tài chính mục tiêu
  • Triển khai lớp phủ HTML để đánh cắp thông tin đăng nhập của người dùng

Ví tiền điện tử trong tầm ngắm

Crocodilus không chỉ dừng lại ở các ứng dụng ngân hàng mà còn nhắm vào ví tiền điện tử. Thay vì sử dụng trang đăng nhập giả, nó lừa nạn nhân bằng cảnh báo sao lưu gian lận, cảnh báo họ lưu cụm từ hạt giống trong vòng 12 giờ hoặc có nguy cơ mất tài sản.

Chiến thuật kỹ thuật xã hội này thao túng nạn nhân điều hướng đến cụm từ hạt giống của họ, sau đó được thu thập thông qua việc lạm dụng dịch vụ trợ năng. Với thông tin này, kẻ tấn công có thể chiếm quyền kiểm soát ví và rút hết tiền của ví.

Giám sát liên tục và trộm cắp thông tin xác thực

Crocodilus được thiết kế để chạy liên tục trong nền, theo dõi chặt chẽ việc khởi chạy ứng dụng và kích hoạt lớp phủ để chặn thông tin xác thực. Nó có thể:

  • Theo dõi tất cả các sự kiện trợ năng
  • Chụp lại tất cả các thành phần hiển thị trên màn hình
  • Chụp ảnh màn hình Google Authenticator để bỏ qua xác thực hai yếu tố

Bằng cách đó, Crocodilus đảm bảo rằng người điều hành không nhận thấy bất kỳ hoạt động đăng nhập nào.

Chế độ ẩn: Ẩn các hoạt động có hại

Để không bị phát hiện, Crocodilus sử dụng nhiều chiến thuật ẩn núp khác nhau, bao gồm:

  • Hiển thị lớp phủ màn hình đen để ẩn các hoạt động trái phép
  • Tắt tiếng để nạn nhân không nghe thấy cảnh báo đáng ngờ

Các biện pháp này khiến nạn nhân khó nhận ra rằng thiết bị của họ đã bị xâm phạm.

Một kho vũ khí mạnh mẽ của các tính năng gây hại

Crocodilus được thiết kế với một loạt các khả năng đe dọa cho phép nó kiểm soát hoàn toàn một thiết bị bị nhiễm. Nó có thể khởi chạy các ứng dụng cụ thể, tự xóa khỏi thiết bị để tránh bị phát hiện và gửi thông báo đẩy để thao túng hành vi của người dùng. Phần mềm độc hại này cũng có khả năng gửi tin nhắn SMS đến các số liên lạc đã chọn hoặc tất cả, truy xuất danh sách liên lạc và lấy danh sách các ứng dụng đã cài đặt, giúp kẻ tấn công có cái nhìn toàn diện về dấu vết kỹ thuật số của nạn nhân.

Ngoài ra, Crocodilus có thể đọc tin nhắn SMS, yêu cầu quyền Quản trị viên thiết bị để có quyền kiểm soát sâu hơn và kích hoạt chế độ phủ màu đen để che giấu các hoạt động không an toàn của mình. Nó thường xuyên cập nhật cài đặt máy chủ Command-and-Control (C2), đảm bảo nó có thể thích ứng và phản hồi các hướng dẫn mới từ người điều hành. Để thúc đẩy các hoạt động ẩn của mình, nó có thể bật hoặc tắt âm thanh, chuyển đổi ghi phím để ghi lại thông tin đầu vào của người dùng và thậm chí tự biến mình thành trình quản lý SMS mặc định, cho phép nó chặn và thao túng các thông tin liên lạc mà không bị phát hiện.

Crocodilus: Mối đe dọa mới của Ngân hàng di động

Sự xuất hiện của Crocodilus đánh dấu sự leo thang không an toàn trong sự tinh vi của phần mềm độc hại ngân hàng di động. Không giống như nhiều mối đe dọa mới được phát hiện, Crocodilus đã trưởng thành ngay từ đầu, tận dụng các kỹ thuật Device-Takeover tiên tiến, các tính năng điều khiển từ xa và các cuộc tấn công phủ đen để xâm phạm người dùng.

Với khả năng thực hiện ẩn và bộ tính năng mạnh mẽ, phần mềm độc hại này tạo nên tiền lệ mới cho các mối đe dọa ngân hàng trên Android, chứng minh rằng tội phạm mạng đang liên tục cải tiến chiến thuật để đi trước các biện pháp bảo mật.

 

xu hướng

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
28,797
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...