.jpg)
‘Crocodilus’ Android kötü amaçlı yazılımının en son sürümü, tehdit aktörlerinden çağrı aldıklarında kurbanları aldatmak için enfekte bir cihazın iletişim listesine sahte bir iletişim ekleyen yeni bir mekanizma getirdi.
Bu özellik, kötü amaçlı yazılımların dünya çapında hedefleme kapsamını genişlettiği görüldüğü için, çoğunlukla kaçınma odaklı iyileştirmeler olmak üzere diğerleri ile birlikte tanıtıldı.
Trocodilus küreselleşiyor
Kötü amaçlı yazılım ilk olarak, Mart 2025’in sonlarında, kapsamlı veri hırsızlığı ve uzaktan kumanda yeteneklerini vurgulayan tehdit kumaş araştırmacıları tarafından belgelendi.
Bu ilk sürümler ayrıca, kullanıcının kripto para birimi cüzdan anahtarının 12 saat içinde “yedeklenmesini” veya ona erişimi kaybetmesini isteyen sahte hata mesajları aracılığıyla sosyal mühendislikte temel denemeler içeriyordu.
O zamanlar Crocodilus sadece Türkiye’deki birkaç küçük ölçekli kampanyada görüldü.
Kötü amaçlı yazılım işlemini izlemeye devam eden ve Crocodilus’un hedefleme kapsamını tüm kıtalara genişlettiğini gözlemleyen tehdit kumaşına göre bu değişti.
Kaynak: Tehdit kumaş
Aynı zamanda, en son sürümler, damla bileşeni üzerinde kod paketleme ve yük için ekstra bir XOR şifreleme katmanı yoluyla gelişmiş kaçış getirdi.
Analistler ayrıca, tersine mühendisliği kötü amaçlı yazılımları daha zor hale getiren kod evrişim ve dolaşma gördüler.
Başka bir ekleme, daha yüksek kaliteli veri toplama için tehdit aktörüne eksfiltrasyon yapmadan önce enfekte olmuş cihazda yerel olarak çalınan verileri ayrıştıracak bir sistemdir.
Sahte Kişiler
En son Crocodilus kötü amaçlı yazılım sürümünde dikkate değer bir özellik, kurbanın cihazına sahte kişiler ekleme yeteneğidir. Bunu yapmak, cihazın gelen bir çağrı alırken arayan kimliğinden ziyade bir arayanın iletişim profilinde listelenen adı görüntülemesine neden olur.
Bu, tehdit aktörlerinin güvenilir bankaları, şirketleri, hatta arkadaşlarını ve aile üyelerini taklit etmelerini sağlayarak çağrıların daha güvenilir görünmesini sağlayabilir.
Bu eylem, aşağıdaki kodu programlı olarak (ContentProvider API kullanılarak) Android cihazında yeni bir yerel kişi oluşturacak şekilde tetikleyen belirli bir komut verildikten sonra gerçekleştirilir.
Kaynak: Tehdit kumaş
Rapordaki tehdit kumaşının “” Tru9mmrhbcro “komutunu aldıktan sonra Crocodilus, kurbanın iletişim listesine belirli bir iletişim ekliyor.”
“Bu, saldırganın cihaz üzerindeki kontrolünü daha da arttırıyor. Niyetin,” banka desteği “gibi ikna edici bir isim altında bir telefon numarası eklemek olduğuna inanıyoruz ve saldırganın meşru görünürken kurbanı aramasına izin veriyor.
Rogue kişisi kullanıcının Google hesabına bağlı değildir, bu nedenle giriş yaptıkları diğer cihazlarla senkronize olmaz.
Crocodilus hızlı bir şekilde gelişiyor ve sosyal mühendisliğe bir yakınlık gösteriyor, bu da onu özellikle tehlikeli bir kötü amaçlı yazılım haline getiriyor.
Android kullanıcılarına, cihazları için yazılım indirirken Google Play’e veya güvenilir yayıncılara bağlı kalmaları ve Play Protect’in her zaman aktif olmasını ve kullandıkları uygulamaların sayısını gerekli olan mutlaka en aza indirmeleri tavsiye edilir.
Manuel yama modası geçmiş. Yavaş, hataya eğilimli ve ölçeklenmesi zor.
Eski yöntemlerin neden yetersiz kaldığını görmek için 4 Haziran’da Kandji + Tines’e katılın. Modern ekiplerin otomasyonu nasıl daha hızlı yama, riski kesmek, uyumlu kalmak ve karmaşık komut dosyalarını atlamak için otomasyonu nasıl kullandığına dair gerçek dünya örneklerine bakın.