Crocodilus olarak adlandırılan yeni keşfedilen bir Android kötü amaçlı yazılım, kullanıcıları kripto para birimi cüzdanı için tohum ifadesini sağlamaya yönlendirir.
Crocodilus yeni bir bankacılık kötü amaçlı yazılımı olmasına rağmen, cihazın kontrolünü, hasat verilerini ve uzaktan kumanda için tamamen geliştirilmiş özelliklere sahiptir.
Dolandırıcılık Önleme Şirketi Tehdit Fabric’teki araştırmacılar, kötü amaçlı yazılımların Android 13 (ve daha sonra) güvenlik korumalarını atlayan tescilli bir damlalık aracılığıyla dağıtıldığını söylüyor.
Droper, erişilebilirlik hizmeti kısıtlamalarını atlarken aynı zamanda Play Protect’i tetiklemeden kötü amaçlı yazılımları yükler.
Crocodilus’u özel kılan şey, kurbanların kripto-wallet tohumu ifadelerine erişim sağlamak için sosyal mühendisliği entegre etmesidir.
Bunu, “12 saat içinde ayarlarda cüzdan anahtarlarını yedekleme” veya cüzdanlarına erişim riskini kaybetme konusunda bir ekran kaplama uyarısı aracılığıyla elde eder.
Kaynak: TehditFabric
Tehdit Fabric, “Bu sosyal mühendislik hilesi, kurbanı tohum ifadelerine (cüzdan anahtarı) yönlendirmeye yönlendirerek Crocodilus’un erişilebilirlik kaydedicisini kullanarak metni hasat etmesine izin veriyor” diye açıklıyor.
“Bu bilgilerle, saldırganlar cüzdanın tam kontrolünü ele geçirebilir ve tamamen boşaltabilir” diyor.
İlk operasyonlarında, Türkiye ve İspanya’daki kullanıcıları bu iki ülkeden gelen banka hesapları da dahil olmak üzere hedefleyen Crocodilus gözlendi. Hata ayıklama mesajlarından yola çıkarak, kötü amaçlı yazılımların Türk kökenli olduğu anlaşılıyor.
İlk enfeksiyonun nasıl meydana geldiği belirsizdir, ancak tipik olarak, kurbanlar kötü amaçlı siteler, sosyal medya veya SMS’deki sahte promosyonlar ve üçüncü taraf uygulama mağazaları aracılığıyla damlalıkları indirmek için kandırılır.
Başlatıldığında Crocodilus, normalde engelli kişilere yardım etmek, ekran içeriğine erişimin kilidini açmak, navigasyon hareketlerini gerçekleştirmek ve uygulama lansmanlarını izlemek için ayrılmış erişilebilirlik hizmetine erişim kazanır.
Kaynak: TehditFabric
Kurban hedefli bir bankacılık veya kripto para birimi uygulaması açtığında, Crocodilus kurbanın hesap kimlik bilgilerini kesmek için gerçek uygulamanın üstüne sahte bir yer paylaşımı yükler.
Kötü amaçlı yazılımın bot bileşeni, cihazda yürütebileceği 23 komutu aşağıdakiler dahil olmak üzere aşağıdakiler de dahil olmak üzere destekler:
- Çağrı yönlendirmeyi etkinleştir
- Belirli bir uygulamayı başlatın
- Bir push bildirimi yayınlayın
- SMS’i tüm kişilere veya belirli bir numaraya gönderin
- SMS Mesajları Alın
- Cihaz Yöneticisi ayrıcalıklarını isteyin
- Siyah kaplamayı etkinleştirin
- Sesi etkinleştir/devre dışı bırak
- Kilit ekranı
- Kendini varsayılan SMS yöneticisi yapın
Kötü amaçlı yazılım ayrıca operatörlerinin ekrana dokunmasını, kullanıcı arayüzünde gezinmesini, kaydırma hareketlerini gerçekleştirmesini ve daha fazlasını yapmasını sağlayan uzaktan erişim Truva (sıçan) işlevselliği de sunar.
Ayrıca Google Authenticator uygulamasının ekran görüntüsünü almak ve iki faktörlü kimlik doğrulama hesap koruması için kullanılan bir kerelik şifre kodlarını yakalamak için özel bir sıçan komutu vardır.
Bu eylemleri yürütürken, Crocodilus operatörleri siyah ekran kaplamasını etkinleştirebilir ve etkinliği kurbandan gizlemek ve cihaz kilitlenmiş gibi görünmesini sağlamak için cihazı susturabilir.
Crocodilus’un şu anda İspanya ve Türkiye ile sınırlı belirli bir hedeflemeye sahip olduğu görülse de, kötü amaçlı yazılım yakında operasyonları genişletebilir ve hedef listesine daha fazla uygulama ekleyebilir.
Android kullanıcılarına Google Play dışından APK’ları indirmekten kaçınmaları ve Play Protect’in her zaman cihazlarında aktif olmasını sağlamaları tavsiye edilir.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.