Троянец Crocodilus: угроза для банков и криптовалют
Источник: www.secureblink.com
Crocodilus представляет собой сложный банковский троянец для Android, целенаправленно нацеленный на финансовые учреждения и криптовалютные платформы. С его помощью злоумышленникам удалось вывести около 2,8 миллионов долларов через оверлеи крипто-кошельков и троян удаленного доступа (RAT).
Технические особенности и методы атаки
Дизайн данной вредоносной программы указывает на высокую квалификацию мобильного хакера. Crocodilus сочетает возможности Device Takeover (DTO) с тактикой уклонения, которая использует психологические манипуляции. Основные характеристики:
- Многоступенчатая программа-перехватчик, маскирующаяся под законные приложения.
- Запрос минимальных разрешений, которые затем расширяются через службы специальных возможностей.
- Использование недействительных подписей APK для обхода проверок Google Play Protect.
- Динамическая загрузка кода с серверов управления (C2).
Управляющие домены и шифрование
Домен управления Crocodilus, quizzical.washbowl.calamity, был зарегистрирован незадолго до появления первой версии вредоносного ПО. Он использует защиту конфиденциальности WHOIS и хостится у надежного провайдера в России, который обслуживает предыдущие вредоносные кампании, такие как Hook.
Связь с сервером C2 зашифрована с помощью AES-256-CBC, а интервалы между включениями маяков рандомизированы для имитации трафика законных приложений. Использование отпечатков пальцев JA3 также становится частью стратегии сокрытия.
Методы фишинга и сбор данных
Crocodilus использует класс WindowManager для динамического создания фишинговых оверлеев, направленных на более чем 50 различных финансовых организаций, включая крупные банки и кошельки, такие как Binance и Trust Wallet. Класс AccessibilityEventLogger фиксирует события пользовательского интерфейса и может извлекать коды одноразового пароля (OTP) из Google Authenticator.
Получив команду TR2XAQSWDEFRGT, Crocodilus может вызвать наложение черного экрана и отключить звук устройства.
Анализ и перспективы угрозы
Сравнительный анализ показал совпадения кода с такими вредоносными программами, как Ermac и MetaDroid. Это также включает идентичные шаблоны URI C2 для взаимодействия с API. Некоторые сообщения об отладке указывают на связи с турецкоговорящими хакерами.
В первые недели эксплуатации Crocodilus стал причиной более чем 1200 случаев заражения, в основном в Испании и Турции, нацелившись на отдельные испанские и турецкие банки, а также на несколько крипто-кошельков.
Рекомендации по защите
Для смягчения угрозы Crocodilus организациям рекомендуется:
- Внедрение решений для обнаружения конечных точек и реагирования на инциденты (EDR).
- Реализация закрепления сертификатов для предотвращения обмена данными с доменами C2.
- Интеграция индикаторов компрометации (IOCs) в системы безопасности и управления событиями (SIEM).
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
