Крокодилус: Продвинутый вредоносный программный код для Android берет под свой удаленный контроль ваши банковские приложения

Появился новый вредоносный программный код для Android, известный как Crocodilus, который вызывает суматоху в мире кибербезопасности.

Crocodilus манипулирует жертвами с помощью поддельных запросов на резервное копирование кошелька, чтобы украсть секретные фразы.

В отличие от других угроз мобильного банкинга, таких как Anatsa и Octo, которые эволюционировали постепенно, Crocodilus — это очень сложная угроза с самого начала. Этот вредоносный программный код был обнаружен исследователями из ThreatFabric в ходе их рутинных проверок, они описали его как значительный шаг вперед в мобильном вредоносном ПО.

Исследователи утверждают, что Crocodilus функционирует как Троян, захватывающий устройство, что означает, что злоумышленники могут удаленно контролировать зараженные устройства Android.

Вредоносное ПО использует различные техники, чтобы лишить своих жертв информации, включая атаки накладывания, регистрацию нажатия клавиш и даже использование служб доступности Android для записи действий пользователя. Этот тип вредоносного ПО в основном используется для кражи учётных данных банковских и криптовалютных счетов.

После установки на телефон жертвы, вредоносное ПО запрашивает разрешение на доступ к службам доступности телефона. Затем вредоносное ПО устанавливает связь с удаленным сервером, чтобы получить дальнейшие инструкции и список приложений для атаки.

В результате он создает поддельные страницы входа, известные как оверлеи, которые размещаются поверх реальных банковских и криптовалютных приложений с целью украсть учетные данные пользователей. ThreatFabric объясняет, что эти атаки в основном наблюдались в Испании и Турции, но они ожидают распространения вредоносного ПО по всему миру.

То, что отличает Crocodilus от других вредоносных программ, — это способность собирать информацию, не ограничиваясь паролями. Эта функция называется «Регистратор доступности», и она фиксирует все, что отображается на экране телефона, включая одноразовые пароли из таких приложений, как Google Authenticator.

Это позволяет злоумышленникам получить конфиденциальную информацию, включая имя и значение OTP, необходимых для обеспечения безопасности транзакций.

У вредоносного ПО также есть «скрытый режим», в котором на устройстве отображается черный экран, скрывающий действия злоумышленников. Он также отключает звуки на устройстве, чтобы мошеннические операции прошли незамеченными. Исследователи говорят, что это делает очень сложным для жертв осознание того, что их устройства подвергаются взлому.

Crocodilus не только для финансовых приложений, он также работает с криптовалютными кошельками. Получив учетные данные для входа, этот вредоносный программный код использует тактики социальной инженерии, чтобы попросить жертвы раскрыть секретную фразу их кошелька.

Например, появляется поддельное уведомление, которое сообщает пользователю о необходимости сделать резервную копию ключа кошелька в течение следующих 12 часов, иначе он будет заблокирован. Когда жертва выполняет эту инструкцию, Crocodilus крадет секретную фразу и передает злоумышленнику ключи от кошелька, который тот тогда может опустошить.

На первый взгляд, кажется, что код вредоносного ПО связан с известной турецкоговорящей кибергруппой, но эта связь не подтверждена.

Учитывая постоянное увеличение мобильных угроз, очевидно, что такое вредоносное ПО, как Crocodilus, является ясным показателем того, насколько продвинутыми могут быть вредоносные программы. Благодаря своим способностям к захвату устройства, оно также является продвинутым инструментом сбора данных и может работать в фоновом режиме, что делает его угрозой, которую следует воспринимать серьезно.

Финансовые учреждения и платформы криптовалют должны улучшить свои меры безопасности, чтобы иметь возможность противостоять таким сложным видам атак.