Новая угроза: троянец Crocodilus атакует мобильные банки
Источник: www.threatfabric.com
Спектр троянских программ для мобильных банкингов значительно расширился. В недавнем отчете компании ThreatFabric выявлены три известных семейства вредоносных программ — Anatsa, Octo и Hook — использующие передовые методы уклонения от финансовых операций. Однако появление угрозы под названием Crocodilus вызывает особую озабоченность среди экспертов по кибербезопасности.
Функции и методы атаки Crocodilus
Crocodilus представляет собой сложный инструмент, отличающийся надежными функциями и современными методами атаки. В отличие от своих предшественников, он не является простым клоном и включает в себя такие функции, как:
- оверлейные атаки;
- кейлоггинг;
- удаленный доступ;
- скрытые возможности удаленного управления.
Unique dropper, используемый в Crocodilus, применяет стратегию обхода ограничений Android 13+. После установки программа запрашивает разрешения службы специальных возможностей. При получении этих разрешений, Crocodilus подключается к серверу управления (C2) для получения конкретных инструкций, включая список целевых приложений и оверлеи для перехвата учетных данных пользователей.
Географическая направленность и целевая аудитория
Первоначальные наблюдения показывают, что Crocodilus в первую очередь нацелен на пользователей в Испании и Турции. Также выявлена активность, касающаяся нескольких криптовалютных кошельков, что указывает на возможные намерения расширения вредоносной программы по всему миру.
Кейлоггинг и предотвращение обнаружения
Особую роль в функционале Crocodilus играет кейлоггинг, который позволяет отслеживать и фиксировать все элементы, отображаемые на экране пользователя. Эффективно записывая изменения текста, вредоносное ПО может делать снимки экрана, особенно из конфиденциальных приложений, таких как Google Authenticator, что в свою очередь позволяет получать коды одноразового пароля (OTP).
Способности к “скрытым” действиям, такие как наложение черного экрана и отключение звука устройства, значительно усложняют процесс обнаружения вредоносного ПО со стороны жертв.
Связь с известным хакером и социальная инженерия
Предварительные образцы Crocodilus содержат теги, указывающие на возможную причастность известного хакера sybra, который ранее работал с другими мобильными вредоносными программами, такими как Ermac forks. Однако степень прямой связи этого злоумышленника с разработкой Crocodilus остается неопределенной.
Анализ исходного кода демонстрирует наличие отладочных сообщений, подсказывающих о том, что разработчики, вероятно, говорят по-турецки. Crocodilus использует тактику социальной инженерии, предлагая жертвам ключевые фразы для их кошельков, что дает возможность собирать эту важную информацию с помощью регистратора доступа.
Это создает значительный риск для финансовой безопасности пользователей, поскольку злоумышленники получают полный контроль над кошельками жертв. В условиях нарастающих угроз кибербезопасности пользователям настоятельно рекомендовано повышать бдительность при использовании мобильного банкинга.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
