Istraživači iz ThreatFabric-a identifikovali su Crocodilus, opasan novi Android bankarski malver sposoban da preuzme potpunu kontrolu nad zaraženim uređajima.
Kako se Crocodilus malver širi
Prema istraživačima, Crocodilus malver se distribuira putem droppera koji zaobilazi bezbjednosne mjere Androida 13. Ovaj dropper instalira malver bez aktiviranja Google Play Protect-a i izbjegava ograničenja Accessibility Service-a.
Taktike socijalnog inženjeringa za krađu kriptovaluta
Ono što čini Crocodilus malver posebno opasnim jeste njegova upotreba socijalnog inženjeringa za krađu podataka kripto novčanika. Prikazuje lažno upozorenje koje poziva korisnike da sačuvaju ključ svog novčanika u postavkama u roku od 12 sati, inače će izgubiti pristup.
“Ova tehnika prevari žrtve da otkriju svoju seed frazu (ključ novčanika), koju Crocodilus bilježi koristeći svoj Accessibility Logger,” objašnjava ThreatFabric. “Uz ove informacije, napadači mogu preuzeti potpunu kontrolu nad novčanikom i isprazniti sredstva.”
Ciljana područja i metode infekcije
U početnim napadima, Crocodilus je ciljao korisnike u Turskoj i Španiji, ugrožavajući bankovne račune u tim zemljama. Smatra se da malver potiče iz Turske.
Iako tačan način infekcije nije poznat, korisnici su najčešće prevareni da preuzmu malver dropper sa:
- zlonamjernih web stranica
- lažnih oglasa na društvenim mrežama
- SMS fišing (smishing) kampanja
- nezvaničnih prodavnica aplikacija
Kako Crocodilus malver funkcioniše
Nakon instalacije, Crocodilus Android malver koristi Accessibility Service—funkciju dizajniranu za pomoć osobama sa invaliditetom—kako bi nadgledao aktivnost ekrana i detektovao kada žrtva otvori bankarsku aplikaciju ili kripto novčanik.
Kada korisnik pokrene takvu aplikaciju, Crocodilus postavlja lažni ekran za prijavu, kako bi ukrao pristupne podatke.
Opasne funkcije Crocodilus malvera
Crocodilus malver može izvršiti 23 zlonamjerne komande, uključujući:
- prosleđivanje poziva
- pokretanje određenih aplikacija
- slanje push obavještenja
- slanje SMS poruka svim kontaktima ili određenim brojevima
- primanje SMS poruka
- zahtjev za administratorska ovlaštenja uređaja
- podešavanje zvuka uređaja
- zaključavanje ekrana
- postavljanje kao podrazumijevanu SMS aplikaciju
Napredne Remote Access Trojan (RAT) mogućnosti
Pored toga, Crocodilus Android malver uključuje Remote Access Trojan (RAT) funkciju, omogućavajući napadačima da:
- daljinski kontrolišu uređaj
- simuliraju dodire po ekranu
- navigiraju korisničkim interfejsom
- izvode pokrete prevlačenja
Jedna od najalarmantnijih funkcija je sposobnost snimanja ekrana Google Authenticator-a, omogućavajući napadačima da ukradu jednokratne autentifikacione kodove korišćene za dvofaktorsku autentifikaciju (2FA).
Stealth mod: kako se Crocodilus sakriva
Dok izvodi svoje zlonamjerne funkcije, Crocodilus malver može:
- aktivirati crni ekran kako bi izgledalo da je uređaj zaključan
- isključiti zvuk uređaja kako bi spriječio korisnike da primijete neovlaštene aktivnosti
Globalna ekspanzija i buduće prijetnje
Zbog svoje sofisticiranosti, Crocodilus malver bi se mogao ubrzo proširiti širom svijeta, ciljajući još više aplikacija i finansijskih platformi.
Kako zaštititi Android uređaj od Crocodilus malvera
Kako biste se zaštitili od Crocodilus Android malvera, slijedite ove savjete:
- izbjegavajte preuzimanje APK datoteka sa nepoznatih izvora
- držite Google Play Protect uključenim
- budite oprezni sa lažnim upozorenjima i iskačućim prozorima
- redovno ažurirajte bezbjednosne zakrpe za Android
- koristite jake metode autentifikacije za bankarske i kripto aplikacije
Kako se Crocodilus bankarski malver nastavlja razvijati, korisnici moraju biti na oprezu i slijediti najbolje prakse sajber bezbjednosti kako bi zaštitili svoje bankovne račune i kripto novčanike od sajber prijetnji.
Budite informisani i podijelite ovaj članak kako biste pomogli drugima da zaštite svoje uređaje od ove Android malver prijetnje.
