Artan sayıda kötü niyetli kampanya, Avrupa ve Güney Amerika’daki kullanıcıları hedeflemek için Crocodilus adlı yakın zamanda keşfedilen bir Android bankacılık Truva atından yararlandı.
TehditFabric tarafından yayınlanan yeni bir rapora göre, kötü amaçlı yazılım, analiz ve tespiti engellemek için geliştirilmiş gizleme tekniklerini de benimsedi ve kurbanın kişiler listesinde yeni kişiler oluşturma yeteneğini içeriyor.
Hollanda güvenlik şirketi, “Son etkinlikler, Türk kampanyalarına devam ederken ve küresel olarak Güney Amerika’ya genişlerken Avrupa ülkelerini hedefleyen birden fazla kampanyayı ortaya koyuyor.” Dedi.
Crocodilus ilk olarak Mart 2025’te, Google Chrome gibi meşru uygulamalar olarak maskelenerek İspanya ve Türkiye’deki Android cihaz kullanıcılarını hedeflemek olarak belgelendi. Kötü amaçlı yazılım, harici bir sunucudan kimlik bilgilerini hasat etmek için alınan finansal uygulamaların listesine karşı bindirme saldırıları başlatmak için özelliklerle donatılmıştır.
Ayrıca, erişilebilirlik hizmetleri izinlerini, kripto para cüzdanları ile ilişkili tohum ifadelerini yakalaması için kötüye kullanır, bu da daha sonra bunlarda saklanan sanal varlıkları boşaltmak için kullanılabilir.
TehditFabric’in son bulguları, kötü amaçlı yazılımların coğrafi kapsamının genişlemesinin yanı sıra, operatörler tarafından aktif olarak korunduğunu gösteren geliştirmeler ve yeni özelliklerle devam eden gelişmeyi göstermektedir.
Polonya’ya yönelik seçkin kampanyaların, bankaları ve e-ticaret platformlarını taklit ederek bir dağıtım vektörü olarak Facebook’taki sahte reklamlardan yararlandığı tespit edildi. Bu reklamlar kurbanları sözde bonus puan talep etmek için bir uygulama indirmeye cezbetir. Uygulamayı indirmeye çalışan kullanıcılar, Crocodilus damlasını teslim eden kötü amaçlı bir siteye yönlendirilir.
İspanyol ve Türk kullanıcılarını hedefleyen diğer saldırı dalgaları kendilerini bir web tarayıcısı güncellemesi ve çevrimiçi bir kumarhane olarak gizledi. Arjantin, Brezilya, Hindistan, Endonezya ve Amerika Birleşik Devletleri, kötü amaçlı yazılımlar tarafından seçilen diğer uluslar arasındadır.
Ters mühendislik çabalarını karmaşıklaştırmak için çeşitli gizleme tekniklerini dahil etmenin yanı sıra, Crocodilus’un yeni varyantları, “Tru9mmrhbcro” komutunu aldıktan sonra kurbanın iletişim listesine belirli bir iletişim ekleme yeteneğine sahiptir.
Özelliğin, Google’ın Android’de tanıttığı yeni güvenlik korumalarına karşı bir önlem olarak tasarlandığından şüpheleniliyor ve bilinmeyen bir kişiyle ekran paylaşım oturumu sırasında bankacılık uygulamaları başlatırken olası dolandırıcılık kullanıcılarını uyarıyor.
Tehdit Fabric, “Niyetin, ‘banka desteği’ gibi ikna edici bir isim altında bir telefon numarası eklemek olduğuna inanıyoruz ve saldırganın meşru görünürken kurbanı aramasına izin veriyor. Bu, bilinmeyen sayıları işaretleyen sahtekarlık önleme önlemlerini de atlayabilir.” Dedi.
Başka bir yeni özellik, tohum ifadelerini ve belirli kripto para birimi cüzdanlarının özel anahtarlarını çıkarmak için bir ayrıştırıcı kullanan otomatik bir tohum cümle toplayıcısıdır.
Şirket, “Crocodilus Android Bankacılık Truva atını içeren en son kampanyalar, hem kötü amaçlı yazılımların teknik sofistike hem de operasyonel kapsamında bir evrim ile ilgili bir işaret ediyor.” Dedi. “Özellikle, kampanyaları artık bölgesel olarak sınırlı değil; kötü amaçlı yazılım, yeni coğrafi alanlara ulaşmasını sağladı ve gerçekten küresel bir tehdide geçişini vurguladı.”