Ένα πρόσφατα ανακαλυφμένο Android κακόβουλο λογισμικό που ονομάστηκε Crocodilus κόλπα χρήστες για να παρέχει τη φράση σπόρων για το πορτοφόλι κρυπτογράφησης χρησιμοποιώντας μια προειδοποίηση για να υποστηρίξει το κλειδί για να αποφευχθεί η απώλεια πρόσβασης.
Παρόλο που το Crocodilus είναι ένα νέο τραπεζικό κακόβουλο λογισμικό, διαθέτει πλήρως αναπτυγμένες δυνατότητες για να αναλάβει τον έλεγχο της συσκευής, τα δεδομένα συγκομιδής και το τηλεχειριστήριο.
Οι ερευνητές της εταιρείας πρόληψης της απάτης, η εταιρεία απειλής, λένε ότι το κακόβουλο λογισμικό διανέμεται μέσω ενός ιδιόκτητου σταγόνα που παρακάμπτει το Android 13 (και αργότερα) την προστασία της ασφάλειας.
Το σταγονόμετρο εγκαθιστά το κακόβουλο λογισμικό χωρίς να ενεργοποιεί το Play Protect, ενώ παράλληλα παρακάμπτοντας τους περιορισμούς υπηρεσίας προσβασιμότητας.
Αυτό που κάνει το Crocodilus Special είναι ότι ενσωματώνει την κοινωνική μηχανική για να κάνει τα θύματα να παρέχουν πρόσβαση στη φράση σπόρων κρυπτογράφησης-wallet.
Επιτυγχάνει αυτό μέσω μιας προειδοποιητικής επικάλυψης οθόνης που προειδοποιούν τους χρήστες να “δημιουργήσουν αντίγραφα ασφαλείας του κλειδιού πορτοφολιού τους στις ρυθμίσεις εντός 12 ωρών” ή κινδυνεύουν να χάσουν την πρόσβαση στο πορτοφόλι τους.
Πηγή: απειλή
“Αυτό το κόλπο κοινωνικής μηχανικής καθοδηγεί το θύμα να πλοηγηθεί στη φράση των σπόρων τους (κλειδί πορτοφολιού), επιτρέποντας στον Crocodilus να συλλέξει το κείμενο χρησιμοποιώντας τον καταγραφέα προσβασιμότητας”, απειλητικό Fabric εξηγεί.
“Με αυτές τις πληροφορίες, οι επιτιθέμενοι μπορούν να εκμεταλλευτούν τον πλήρη έλεγχο του πορτοφολιού και να το αποστραγγίσουν εντελώς”, λένε οι ερευνητές.
Στις πρώτες λειτουργίες της, παρατηρήθηκε ο Crocodilus με στόχευση χρηστών στην Τουρκία και την Ισπανία, συμπεριλαμβανομένων τραπεζικών λογαριασμών από αυτές τις δύο χώρες. Κρίνοντας από τα μηνύματα εντοπισμού σφαλμάτων, φαίνεται ότι το κακόβουλο λογισμικό είναι της τουρκικής προέλευσης.
Δεν είναι σαφές πώς συμβαίνει η αρχική μόλυνση, αλλά τυπικά, τα θύματα εξαπατούνται στη λήψη droppers μέσω κακόβουλων τοποθεσιών, ψεύτικων προωθήσεων σε κοινωνικά μέσα ή SMS και καταστήματα εφαρμογών τρίτων.
Κατά την εκτόξευση, ο Crocodilus κερδίζει πρόσβαση στην υπηρεσία προσβασιμότητας, που συνήθως προορίζεται για την ενίσχυση των ατόμων με αναπηρίες, για να ξεκλειδώσει την πρόσβαση σε περιεχόμενο οθόνης, να εκτελέσει χειρονομίες πλοήγησης και να παρακολουθείται για εκτοξεύσεις εφαρμογών.
Πηγή: απειλή
Όταν το θύμα ανοίγει μια στοχοθετημένη εφαρμογή τραπεζικής ή κρυπτογράφησης, ο Crocodilus φορτώνει μια ψεύτικη επικάλυψη στην κορυφή της πραγματικής εφαρμογής για να παρακολουθεί τα διαπιστευτήρια του λογαριασμού του θύματος.
Το στοιχείο bot του κακόβουλου λογισμικού υποστηρίζει ένα σύνολο 23 εντολών που μπορεί να εκτελέσει στη συσκευή, συμπεριλαμβανομένου:
- Ενεργοποίηση προώθησης κλήσεων
- Εκκινήστε μια συγκεκριμένη εφαρμογή
- Δημοσιεύστε μια ειδοποίηση ώθησης
- Αποστολή SMS σε όλες τις επαφές ή σε συγκεκριμένο αριθμό
- Λάβετε μηνύματα SMS
- Ζητήστε προνόμια διαχειριστή συσκευής
- Ενεργοποιήστε μια μαύρη επικάλυψη
- Ενεργοποίηση/απενεργοποίηση ήχου
- Οθόνη κλειδώματος
- Κάντε τον προεπιλεγμένο διαχειριστή SMS
Το κακόβουλο λογισμικό προσφέρει επίσης λειτουργικότητα απομακρυσμένης πρόσβασης Trojan (RAT), η οποία επιτρέπει στους χειριστές του να πατήσουν την οθόνη, να περιηγούνται στο περιβάλλον εργασίας χρήστη, να εκτελούν χειρονομίες και άλλα.
Υπάρχει επίσης μια αποκλειστική εντολή αρουραίου για να λάβετε ένα στιγμιότυπο οθόνης της εφαρμογής Google Authenticator και να καταγράψετε κωδικούς κωδικού πρόσβασης που χρησιμοποιούνται για προστασία λογαριασμού ελέγχου ταυτότητας δύο παραγόντων.
Κατά την εκτέλεση αυτών των ενεργειών, οι χειριστές του Crocodilus μπορούν να ενεργοποιήσουν μια επικάλυψη μαύρης οθόνης και να σβήσουν τη συσκευή για να αποκρύψουν τη δραστηριότητα από το θύμα και να εμφανιστούν σαν να είναι κλειδωμένη η συσκευή.
Παρόλο που ο Crocodilus φαίνεται να έχει συγκεκριμένη στόχευση που περιορίζεται στην Ισπανία και την Τουρκία αυτή τη στιγμή, το κακόβουλο λογισμικό θα μπορούσε να επεκτείνει τις λειτουργίες σύντομα, προσθέτοντας περισσότερες εφαρμογές στη λίστα στόχων του.
Οι χρήστες του Android καλούνται να αποφύγουν τη λήψη APK από το εξωτερικό Google Play και να διασφαλίσουν ότι το Play Protect είναι πάντα ενεργό στις συσκευές τους.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
