تروجان جدید اندرویدی Crocodilus از قابلیت دسترسی برای سرقت اطلاعات بانکی و ارز دیجیتال سوء استفاده می‌کند

Q: تروجان جدید در اندروید

ThreatFabric گفت: "Crocodilus وارد صحنه میشود نه به عنوان یک کلون ساده، بلکه به عنوان یک تهدید کامل از همان ابتدا، مجهز به تکنیکهای مدرن مانند کنترل از راه دور، پوششهای صفحه سیاه و برداشت پیشرفته دادهها از طریق ورود به سیست

Q: برخی از ویژگیهای مهم پشتیبانی شده توسط بدافزار در زیر فهرست شدهاند

راهاندازی برنامه مشخص شده حذف خودکار از دستگاه ارسال یک اعلان فشاری ارسال پیامک به همه/انتخاب مخاطبین بازیابی لیست مخاطبین دریافت لیست برنامههای نصب شده دریافت پیامک

سید هادی شریفی
10 فروردین ماه 1404
0 دیدگاه

فهرست مطالب

به گزارش زوم تک از The Hacker News، محققان امنیت سایبری یک بدافزار بانکی جدید اندرویدی به نام Crocodilus را کشف کرده‌اند که در درجه اول برای هدف قرار دادن کاربران در اسپانیا و ترکیه طراحی شده است.

تروجان جدید در اندروید

ThreatFabric گفت: “Crocodilus وارد صحنه می‌شود نه به عنوان یک کلون ساده، بلکه به عنوان یک تهدید کامل از همان ابتدا، مجهز به تکنیک‌های مدرن مانند کنترل از راه دور، پوشش‌های صفحه سیاه و برداشت پیشرفته داده‌ها از طریق ورود به سیستم قابلیت دسترسی.”

مانند سایر تروجان‌های بانکی از این دست، این بدافزار برای تسهیل تصاحب دستگاه (DTO) و در نهایت انجام تراکنش‌های تقلبی طراحی شده است. تجزیه و تحلیل کد منبع و پیام‌های اشکال زدایی نشان می‌دهد که نویسنده بدافزار ترکی زبان است.

مصنوعات Crocodilus که توسط شرکت امنیت موبایل هلندی تجزیه و تحلیل شده‌اند، به عنوان Google Chrome (نام بسته: “quizzical.washbowl.calamity”) ظاهر می‌شوند که به عنوان یک دراپر قادر به دور زدن محدودیت‌های Android 13+ عمل می‌کند.

پس از نصب و راه‌اندازی، برنامه مجوز سرویس‌های قابلیت دسترسی Android را درخواست می‌کند، پس از آن با یک سرور راه دور تماس برقرار می‌شود تا دستورالعمل‌های بیشتر، لیست برنامه‌های مالی مورد نظر و پوشش‌های HTML مورد استفاده برای سرقت اعتبار را دریافت کند.

Crocodilus همچنین قادر به هدف قرار دادن کیف پول‌های ارز دیجیتال با یک پوشش است که به جای ارائه یک صفحه ورود جعلی برای ثبت اطلاعات ورود، یک پیام هشدار نشان می‌دهد که به قربانیان توصیه می‌کند عبارات اولیه خود را در عرض 12 ساعت پشتیبان بگیرند، در غیر این صورت خطر از دست دادن دسترسی به کیف پول‌های خود را دارند.

این ترفند مهندسی اجتماعی چیزی جز یک ترفند از سوی تهدیدگران برای هدایت قربانیان به سمت عبارات اولیه خود نیست که سپس از طریق سوء استفاده از خدمات قابلیت دسترسی برداشت می‌شوند و به آنها اجازه می‌دهد تا کنترل کامل کیف پول‌ها را به دست گیرند و دارایی‌ها را تخلیه کنند.

ThreatFabric گفت: “این به طور مداوم اجرا می‌شود، راه‌اندازی برنامه‌ها را نظارت می‌کند و پوشش‌هایی را برای رهگیری اعتبارنامه نمایش می‌دهد. این بدافزار تمام رویدادهای قابلیت دسترسی را نظارت می‌کند و تمام عناصر نمایش داده شده روی صفحه را ثبت می‌کند.”

این به بدافزار اجازه می‌دهد تا تمام فعالیت‌های انجام شده توسط قربانیان روی صفحه را ثبت کند و همچنین یک عکس صفحه از محتویات برنامه Google Authenticator را راه‌اندازی کند.

یکی دیگر از ویژگی‌های Crocodilus توانایی آن در پنهان کردن اقدامات مخرب روی دستگاه با نمایش یک پوشش صفحه سیاه و همچنین بی‌صدا کردن صداها است، بنابراین اطمینان حاصل می‌شود که آنها توسط قربانیان مورد توجه قرار نمی‌گیرند.

برخی از ویژگی‌های مهم پشتیبانی شده توسط بدافزار در زیر فهرست شده‌اند

راه‌اندازی برنامه مشخص شده
حذف خودکار از دستگاه
ارسال یک اعلان فشاری
ارسال پیامک به همه/انتخاب مخاطبین
بازیابی لیست مخاطبین
دریافت لیست برنامه‌های نصب شده
دریافت پیامک‌ها
درخواست امتیازات مدیر دستگاه
فعال کردن پوشش سیاه
به روز رسانی تنظیمات سرور C2
فعال/غیرفعال کردن صدا
فعال/غیرفعال کردن کی لاگر
تبدیل خود به مدیر پیامک پیش فرض

ThreatFabric گفت: “ظهور تروجان بانکداری تلفن همراه Crocodilus نشان دهنده افزایش قابل توجهی در پیچیدگی و سطح تهدید ناشی از بدافزارهای مدرن است.”

“Crocodilus با قابلیت‌های پیشرفته تصاحب دستگاه، ویژگی‌های کنترل از راه دور و استقرار حملات پوشش سیاه از اولین تکرارهای خود، سطح بلوغی را نشان می‌دهد که در تهدیدات تازه کشف شده غیر معمول است.”

این توسعه در حالی رخ می‌دهد که Forcepoint جزئیات یک کمپین فیشینگ را فاش کرد که از ترفندهای با مضمون مالیاتی برای توزیع تروجان بانکی Grandoreiro استفاده می‌کند که کاربران ویندوز را در مکزیک، آرژانتین و اسپانیا از طریق یک اسکریپت Visual Basic مبهم هدف قرار می‌دهد.

به این پست امتیاز بدید