Истражувачите од „ThreatFabric“ открија нов злонамерен софтвер на „Android“ наречен „Crocodilus“, кој може да ја преземе контролата врз заразениот уред.
Истражувачите велат дека малициозниот софтвер се дистрибуира преку капалка што ја заобиколува безбедносната заштита на „Android 13“ и поновите верзии. Напаѓачот инсталира малициозен софтвер без да работи „Play Protect“ и ги заобиколува ограничувањата на услугата за пристапност.
Она што го прави „Crocodilus“ посебен е тоа што користи социјален инженеринг за да им овозможи на жртвите пристап до нивниот криптопаричник. Ова се постигнува со предупредување што го прекрива екранот дека корисниците мора да „направат резервна копија од клучот од својот паричник во поставките во рок од 12 часа“ или ризикуваат да го изгубат пристапот до нивниот паричник.
„Овој трик за социјално инженерство ја наведува жртвата да се откаже од својата фраза за семе (клуч од паричник), дозволувајќи му на ‘Crocodilus’ да ја украде со помош на својот логер за пристапност“, објаснува „ThreatFabric“.
„Со овие информации, напаѓачите можат да преземат целосна контрола над паричникот и целосно да го испразнат“, се додава во соопштението.
Во своите први операции, „Crocodilus“ таргетираше корисници во Турција и Шпанија и банкарски сметки од тие две земји. Очигледно, малициозниот софтвер е од турско потекло.
Не е јасно како настанува инфекцијата, но обично жртвите се измамени да го преземат „dropper“ од малициозни веб-локации, преку лажни реклами на социјалните медиуми или СМС и неофицијални продавници за апликации.
Кога е лансиран, „Crocodilus“ пристапува до Услугата за пристапност, која е дизајнирана да им помогне на лицата со посебни потреби, да пристапат до содржината на екранот и да го следат стартувањето на апликациите.
Кога жртвата отвора банкарска апликација или паричник за криптовалути, „Crocodilus“ вчитува лажен екран преку вистинската апликација за да ги пресретне деталите за најавување на сметката на жртвата.
Што може да направи?
Злонамерниот софтвер поддржува 23 команди што може да ги изврши на уредот, вклучително и препраќање повици, стартување одредена апликација, објавување притисни известувања, испраќање СМС на сите контакти или одреден број, примање СМС-порака, барање администраторски привилегии, вклучување и исклучување на звукот, заклучување на екранот и правење стандардна СМС апликација.
Злонамерниот софтвер нуди и функција за далечински пристап тројанец (RAT), која им овозможува на операторите да го допираат екранот, да се движат низ корисничкиот интерфејс, да вршат гестови со лизгање и многу повеќе.
Исто така, постои посветена команда „RAT“ за сликање од екранот на апликацијата „Google Authenticator“ и снимање на еднократни кодови што се користат за заштита на сметките со автентикација со два фактори.
Додека ги извршуваат овие дејства, операторите можат да активираат црн екран и да го исклучат звукот на уредот за да скријат што се случува на уредот од жртвата, правејќи да изгледа како уредот да е заклучен.
Малициозен софтвер наскоро би можел да се прошири низ целиот свет, а оние кои стојат зад овој малициозен софтвер би можеле да додадат повеќе апликации на списокот со целни апликации.
На корисниците на „Android“ им се препорачува да избегнуваат преземање апликации надвор од „Google Play“ и секогаш да го одржуваат „Play Protect“ активен на своите уреди.
