Crocodilus olarak adlandırılan yeni keşfedilen bir Android kötü amaçlı yazılım, kullanıcıları kripto para birimi cüzdanı için tohum ifadesini sağlamaya yönlendirir.
Crocodilus yeni bir bankacılık kötü amaçlı yazılımı olmasına rağmen, cihazın kontrolünü, hasat verilerini ve uzaktan kumanda için tamamen geliştirilmiş özelliklere sahiptir.
Dolandırıcılık Önleme Şirketi Tehdit Fabric'teki araştırmacılar, kötü amaçlı yazılımların Android 13 (ve daha sonra) güvenlik korumalarını atlayan tescilli bir damlalık aracılığıyla dağıtıldığını söylüyor.
Droper, erişilebilirlik hizmeti kısıtlamalarını atlarken aynı zamanda Play Protect'i tetiklemeden kötü amaçlı yazılımları yükler.
Crocodilus'u özel kılan şey, kurbanların kripto-wallet tohumu ifadelerine erişim sağlamak için sosyal mühendisliği entegre etmesidir.
Bunu, “12 saat içinde ayarlarda cüzdan anahtarlarını yedekleme” veya cüzdanlarına erişim riskini kaybetme konusunda bir ekran kaplama uyarısı aracılığıyla elde eder.
Tehdit Fabric, “Bu sosyal mühendislik hilesi, kurbanı tohum ifadelerine (cüzdan anahtarı) yönlendirmeye yönlendirerek Crocodilus'un erişilebilirlik kaydedicisini kullanarak metni hasat etmesine izin veriyor” diye açıklıyor.
“Bu bilgilerle, saldırganlar cüzdanın tam kontrolünü ele geçirebilir ve tamamen boşaltabilir” diyor.
İlk operasyonlarında, Türkiye ve İspanya'daki kullanıcıları bu iki ülkeden gelen banka hesapları da dahil olmak üzere hedefleyen Crocodilus gözlendi. Hata ayıklama mesajlarından yola çıkarak, kötü amaçlı yazılımların Türk kökenli olduğu anlaşılıyor.
İlk enfeksiyonun nasıl meydana geldiği belirsizdir, ancak tipik olarak, kurbanlar kötü amaçlı siteler, sosyal medya veya SMS'deki sahte promosyonlar ve üçüncü taraf uygulama mağazaları aracılığıyla damlalıkları indirmek için kandırılır.
Başlatıldığında Crocodilus, normalde engelli kişilere yardım etmek, ekran içeriğine erişimin kilidini açmak, navigasyon hareketlerini gerçekleştirmek ve uygulama lansmanlarını izlemek için ayrılmış erişilebilirlik hizmetine erişim kazanır.
Mağdur hedefli bir bankacılık veya kripto para birimi uygulaması açtığında, Crocodilus kurbanın hesap kimlik bilgilerini kesmek için gerçek uygulamanın üstüne sahte bir yer paylaşımı yükler.
Kötü amaçlı yazılımın bot bileşeni, cihazda yürütebileceği 23 komutu aşağıdakiler dahil olmak üzere aşağıdakiler de dahil olmak üzere destekler:
Kötü amaçlı yazılım ayrıca operatörlerinin ekrana dokunmasını, kullanıcı arayüzünde gezinmesini, kaydırma hareketlerini gerçekleştirmesini ve daha fazlasını yapmasını sağlayan uzaktan erişim Truva (sıçan) işlevselliği de sunar.
Ayrıca, Google Authenticator uygulamasının ekran görüntüsünü almak ve iki faktörlü kimlik doğrulama hesap koruması için kullanılan bir kerelik şifre kodlarını yakalamak için özel bir sıçan komutu vardır.
Bu eylemleri yürütürken, Crocodilus operatörleri siyah ekran kaplamasını etkinleştirebilir ve etkinliği kurbandan gizlemek ve cihaz kilitlenmiş gibi görünmesini sağlamak için cihazı susturabilir.
Crocodilus'un şu anda İspanya ve Türkiye ile sınırlı belirli bir hedeflemeye sahip olduğu görülse de, kötü amaçlı yazılım yakında operasyonları genişletebilir ve hedef listesine daha fazla uygulama ekleyebilir.
Android kullanıcılarına Google Play dışından APK'ları indirmekten kaçınmaları ve Play Protect'in her zaman cihazlarında aktif olmasını sağlamaları tavsiye edilir.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93'ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.
Microsoft: Kripto hırsızlığı için kullanılan yeni sıçan kötü amaçlı yazılım
Apple App Store'da ilk kez bulunan kripto yazma uygulamaları
Bir (DC) Sıçan Kokusu: Sofistike bir kötü amaçlı yazılım dağıtım zincirini ortaya çıkarıyor
Kuzey Koreli bilgisayar korsanları, kripto firmalarını hedeflemek için tıklama saldırıları benimsiyor
Yeni Android kötü amaçlı yazılım, tespitten kaçınmak için Microsoft’un .NET Maui'yi kullanıyor
Kaynak: Bleeping Computer