Siber güvenlik araştırmacıları Timsah Bu öncelikle İspanya ve Türkiye’deki kullanıcıları hedeflemek için tasarlanmıştır.
Tehdit Fabric, “Trocodilus, sahneye basit bir klon olarak değil, en baştan tam olarak teşhir edilen bir tehdit olarak, uzaktan kumanda, siyah ekran kaplamaları ve erişilebilirlik günlüğü yoluyla gelişmiş veri toplama gibi modern tekniklerle donatılmış bir tehdit olarak giriyor.” Dedi.
Türünün diğer bankacılık truva atlarında olduğu gibi, kötü amaçlı yazılımlar cihaz devralmayı (DTO) kolaylaştırmak ve nihayetinde hileli işlemler yapmak için tasarlanmıştır. Kaynak kodunun ve hata ayıklama mesajlarının analizi, kötü amaçlı yazılım yazarının Türkçe konuştuğunu ortaya koymaktadır.
Hollandalı mobil güvenlik şirketi Masquerade tarafından Android 13+ kısıtlamalarını atlayabilen bir damlalık görevi gören Google Chrome (“Quizzic.washbowl.calamity”) olarak analiz edilen timsah artefaktları.
Yüklendikten ve başlatıldıktan sonra, uygulama Android’in erişilebilirlik hizmetlerine izin ister, daha sonra daha fazla talimat almak için uzak bir sunucu, hedeflenecek finansal uygulamaların listesi ve kimlik bilgilerini çalmak için kullanılacak HTML kaplamaları kurulur.
Crocodilus ayrıca, giriş bilgilerini yakalamak için sahte bir giriş sayfası sunmak yerine, kurbanları 12 içindeki tohum ifadelerini yedeklemeye çağıran bir uyarı mesajı gösteren veya cüzdanlarına erişim riskini gösteren bir kaplama ile kripto para cüzdanlarını hedefleyebilir.
Bu sosyal mühendislik hilesi, tehdit aktörlerinin kurbanların tohum cümlelerine gitmeleri için rehberlik etmekten başka bir şey değildir, bunlar daha sonra erişilebilirlik hizmetlerinin kötüye kullanılması yoluyla hasat edilir, böylece cüzdanların tam kontrolünü kazanmalarına ve varlıkları boşaltmalarına izin verir.
Tehdit Fabric, “Sürekli olarak çalışır, uygulamaları izleyerek ve kimlik bilgilerini engellemek için kaplamaları görüntüler.” Dedi. “Kötü amaçlı yazılım tüm erişilebilirlik olaylarını izler ve ekranda görüntülenen tüm öğeleri yakalar.”
Bu, kötü amaçlı yazılımların kurbanlar tarafından gerçekleştirilen tüm etkinlikleri günlüğe kaydetmesine ve Google Authenticator uygulamasının içeriğinin ekran çekimini tetiklemesine olanak tanır.
Crocodilus’un bir başka özelliği de, siyah bir ekran kaplamasını göstererek ve sesleri seslendirerek cihazdaki kötü niyetli eylemleri gizleme yeteneğidir, böylece kurbanlar tarafından fark edilmeden kalmalarını sağlar.
Kötü amaçlı yazılım tarafından desteklenen bazı önemli özellikler aşağıda listelenmiştir –
- Belirtilen uygulamayı başlatın
- Cihazdan Kendi Kendinden Çıkar
- Bir push bildirimi yayınlayın
- SMS mesajlarını herkese gönderin/Kişileri seçin
- İletişim listelerini al
- Yüklü uygulamaların bir listesini alın
- SMS Mesajları Alın
- Cihaz Yöneticisi ayrıcalıklarını isteyin
- Siyah Kaplama Etkinleştir
- C2 Sunucu Ayarlarını Güncelle
- Sesi etkinleştir/devre dışı bırak
- Keylogging’i etkinleştir/devre dışı bırakın
- Kendini varsayılan bir SMS yöneticisi yapın
Tehdit Fabric, “Crocodilus mobil bankacılık Truva atının ortaya çıkışı, modern kötü amaçlı yazılımların ortaya koyduğu karmaşıklık ve tehdit düzeyinde önemli bir yükselişe işaret ediyor.” Dedi.
“Gelişmiş cihaz devralma yetenekleri, uzaktan kumanda özellikleri ve siyah kaplama saldırılarının en eski iterasyonlarından dağıtımıyla, Crocodilus yeni keşfedilen tehditlerde nadir görülen bir olgunluk seviyesi gösteriyor.”
Geliştirme, ForcePoint olarak, Meksika, Arjantin ve İspanya’daki Windows kullanıcılarını hedefleyen Grandoreiro Bankacılık Truva Truva atı Truva Truva atı kullanan bir kimlik avı kampanyasının ayrıntılarını açıkladı.