Krokodyl: Zaawansowane złośliwe oprogramowanie na Androida przejmuje zdalną kontrolę nad Twoimi aplikacjami bankowymi

Pojawiło się nowe złośliwe oprogramowanie dla Androida, znane jako Crocodilus, które wzbudza poruszenie w świecie cyberbezpieczeństwa.

Crocodilus manipuluje ofiarami poprzez fałszywe monity o tworzeniu kopii zapasowych portfeli, aby ukraść frazy seed.

W przeciwieństwie do innych zagrożeń związanych z bankowością mobilną, takich jak Anatsa i Octo, które ewoluowały stopniowo, Crocodilus to wysoce zaawansowane zagrożenie od samego początku. Ten złośliwy oprogramowanie zostało odkryte przez badaczy z ThreatFabric podczas rutynowych kontroli, a opisali go jako znaczący krok naprzód w dziedzinie złośliwego oprogramowania mobilnego.

Badacze twierdzą, że Crocodilus działa jak trojański „przejmujący urządzenie”, co oznacza, że atakujący mogą z daleka przejąć kontrolę nad zainfekowanymi urządzeniami z systemem Android.

Oprogramowanie szkodliwe stosuje różne techniki pozbawiania ofiar ich informacji, w tym ataki nakładkowe, keylogging, a nawet wykorzystuje Usługi Dostępności Androida do rejestrowania aktywności użytkowników. Ten typ złośliwego oprogramowania jest głównie używany do kradzieży danych bankowych i kryptowalutowych.

Po zainstalowaniu na telefonie ofiary, malware prosi o dostęp do usług dostępności telefonu. Następnie, oprogramowanie szkodliwe nawiązuje połączenie z serwerem zdalnym, aby otrzymać dalsze instrukcje i listę aplikacji do ataku.

W efekcie tworzy fałszywe strony logowania, znane jako nakładki, które są umieszczane na wierzchu prawdziwych aplikacji bankowych i kryptowalutowych, z zamiarem kradzieży danych logowania użytkowników. ThreatFabric wyjaśnia, że te ataki zostały zaobserwowane głównie w Hiszpanii i Turcji, ale spodziewają się, że złośliwe oprogramowanie rozprzestrzeni się na całym świecie.

To, co wyróżnia Crocodilus od innych złośliwych programów, to możliwość zbierania informacji, które nie ograniczają się tylko do haseł. Ta funkcja nazywa się „Rejestrator Dostępności” i rejestruje wszystko, co jest wyświetlane na ekranie telefonu, w tym OTP-y z aplikacji takich jak Google Authenticator.

To sprawia, że atakujący mogą uzyskać dostęp do wrażliwych informacji, w tym nazwy i wartości OTP-ów, które są niezbędne do zabezpieczania transakcji.

Malware posiada również „ukryty tryb”, w którym wyświetla na urządzeniu czarną nakładkę, dzięki czemu działania atakujących nie są widoczne. Wyłącza również dźwięki na urządzeniu, dzięki czemu oszukańcze transakcje pozostają niezauważone. Badacze twierdzą, że to sprawia, że jest bardzo trudno dla ofiar zdać sobie sprawę, że ich urządzenia są naruszane.

Crocodilus nie służy tylko do aplikacji finansowych, działa również z portfelami kryptowalut. Po uzyskaniu danych do logowania, złośliwe oprogramowanie wykorzystuje techniki inżynierii społecznej, aby poprosić ofiary o ujawnienie frazy seed swojego portfela.

Na przykład, pojawia się fałszywe powiadomienie, które informuje użytkownika o konieczności wykonania kopii zapasowej klucza do portfela w ciągu najbliższych 12 godzin, w przeciwnym razie zostanie on zablokowany. Kiedy ofiara zastosuje się do tego polecenia, Crocodilus kradnie frazę seed i przekazuje atakującemu klucze do portfela, który może następnie opróżnić.

Na pierwszy rzut oka wydaje się, że kod złośliwego oprogramowania jest powiązany z dobrze znaną tureckojęzyczną grupą cybernetyczną, jednak link nie jest potwierdzony.

Ponieważ zagrożenia mobilne są zawsze na wzroście, jest oczywiste, że złośliwe oprogramowanie takie jak Crocodilus jest wyraźnym dowodem na to, jak zaawansowane może być malware. Ze swoimi możliwościami przejęcia urządzenia, jest również zaawansowanym narzędziem do zbierania danych i może pracować w tle, co czyni go zagrożeniem, które powinno być traktowane poważnie.

Instytucje finansowe i platformy kryptowalutowe muszą ulepszyć swoje środki bezpieczeństwa, aby móc przeciwdziałać tak zaawansowanym typom ataków.