Mobil tehdit istihbaratı (MTI) ekibi, mobil kötü amaçlı yazılım manzarasında müthiş yeni bir oyuncu tanımladı: Crocodilus, cihaz devralması için tasarlanmış bir Android bankacılık Truva atı.
Başlangıçta sınırlı canlı örneklere sahip test kampanyalarında gözlemlenen bu kötü amaçlı yazılım hızla gelişti, aktif kampanyalarda bir artış ve sofistike gelişme gösterdi.
Android ekosisteminde yükselen bir tehdit
Öncelikle Türkiye’yi hedefleyen bölgesel odaklı bir tehdit olarak başlayan şey, şimdi küresel bir tehdit haline geldi ve Avrupa uluslarına, Güney Amerika’ya ve ötesine ulaştı.
.png
)
Bu endişe verici ilerleme, gelişmiş teknik yeteneklerle birleştiğinde, Crocodilus’u Android kullanıcıları ve siber güvenlik profesyonelleri için kritik bir endişe olarak konumlandırıyor.
Crocodilus, algılamadan kaçınmak ve ters mühendisliği karmaşıklaştırmak için gelişmiş gizleme tekniklerini içeren önemli güncellemeler geçirmiştir.
Damlası ve yükü artık kod paketleme, xor şifrelemesi ve kıvrımlı kod yapıları kullanıyor ve bu da analizleri güvenlik araştırmacıları için zorlaştırıyor.
Teknik geliştirmelerin ötesinde, kötü amaçlı yazılım, bir kurbanın iletişim listesini manipüle etme yeteneği gibi istilacı özellikler sunar.
Potansiyel olarak “banka desteği” olarak etiketlenmiş hileli temaslar ekleyerek saldırganlar sosyal mühendislik saldırılarını başlatabilir ve alışılmadık sayıları işaretleyen sahtekarlık önleme mekanizmalarını atlayabilirler.
Sofistike özellikler
Bir başka rahatsız edici gelişme, doğrudan cihazdan kripto para birimi cüzdan verilerini çıkarmak için normal ekspresyon tabanlı ayrıştırma ile geliştirilmiş bir erişilebilirlik özelliğinden yararlanan otomatik tohum cümle koleksiyoncusudur.
Tehdit Fabrik Raporuna göre, bu önceden işlenmiş, yüksek kaliteli veriler, dijital varlıkları hedefleyen hesap devralmaları da dahil olmak üzere derhal hileli eylemler sağlar. Crocodilus kampanyalarının coğrafi kapsamı önemli ölçüde genişledi.
Trojan, Türkiye’de güçlü bir varlığı sürdürürken, Truva atı şimdi bonus puan sunan banka veya e-ticaret uygulamaları olarak gizlenmiş kötü niyetli Facebook reklamları aracılığıyla Polonya’daki kullanıcıları hedefliyor.
Bu reklamlar, sadece saatlerce aktif olmasına rağmen, binlerce kişiye ulaştı, öncelikle 35’ten fazla kullanıcılar finansal ödeme gücü için seçilen bir demografi.
İspanya Masquerade’deki benzer kampanyalar, büyük bankaları hedeflemek için tarayıcı güncellerken, küresel olarak daha küçük, küresel odaklı çabalar Arjantin, Brezilya, ABD, Endonezya ve Hindistan’dan gelen uygulamaları vurdu.
Dağıtım genellikle sosyal platformlardaki kötü amaçlı reklamlar aracılığıyla sosyal mühendisliğe dayanır ve kullanıcıları Android 13+ kısıtlamalarını atlayan Crocodilus damlasını barındıran sitelere yönlendirir.
Crocodilus’un hızlı evrimi, daha organize ve uyarlanabilir tehdit aktörlerine doğru bir kaymanın altını çiziyor.
Hassas verileri toplama, cihaz işlevlerini manipüle etme ve çeşitli bölgelerde çalışabilme yeteneği, onu sofistike bir küresel tehdit olarak işaretler.
Android kullanıcıları ve kuruluşları, şüpheli uygulama indirmelerinden kaçınmak, reklamları incelemek ve bu artan tehlikeye karşı koymak için sağlam mobil güvenlik çözümleri dağıtmak gibi proaktif savunmalara öncelik vermelidir.
Crocodilus taktiklerini geliştirmeye devam ettikçe, bilgilendirilmiş ve uyanık kalmak çok önemlidir.
Uzlaşma Göstergeleri (IOCS)
| Uygulama Adı | Paket adı | Sha256 karma | C2 Alanı |
|---|---|---|---|
| Bulunur | Nuttiness.pampperer.cosmetics | 6d55d90d021b0980528f5d040e78fa7b85a96f5c24e23f3330f24c8e80c1cb2 | Rentvillcr[.]evler |
| Eth Minasyon Uygulaması | önlük | Fb046b7d0e385ba7ad15b766086cd48b4b099e612d8d0a460da2385dd31e09e | Rentvillcr[.]çevrimiçi |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!