Cybersecurity -onderzoekers hebben een nieuwe Android Banking -malware ontdekt genaamd Krokodilus Dat is voornamelijk ontworpen om gebruikers in Spanje en Turkije te richten.
“Crocodilus komt niet in het toneel, niet als een eenvoudige kloon, maar vanaf het begin als een volwaardige dreiging, uitgerust met moderne technieken zoals afstandsbediening, zwarte schermoverlays en geavanceerde gegevensopvang via toegankelijkheidslogging,” zei Threatfabric.
Net als bij andere Banking Trojans in zijn soort, is de malware ontworpen om Device Takeover (DTO) te vergemakkelijken en uiteindelijk frauduleuze transacties uit te voeren. Uit een analyse van de broncode en de foutopsporingsberichten blijkt dat de malware-auteur Turks sprekend is.
De Crocodilus -artefacten geanalyseerd door het Nederlandse mobiele beveiligingsbedrijf Masquerade als Google Chrome (pakketnaam: “Quizzical.washbowl.Calamity”), die fungeert als een dropper die in staat is om Android 13+ beperkingen te omzeilen.
Eenmaal geïnstalleerd en gelanceerd, vraagt de app om toestemming voor de toegankelijkheidsservices van Android, waarna contact met een externe server wordt gesteld om verdere instructies te ontvangen, de lijst met te richten op financiële applicaties en de HTML -overlays die moeten worden gebruikt om referenties te stelen.
Crocodilus is ook in staat om cryptocurrency -portefeuilles te richten met een overlay die, in plaats van een nep -inlogpagina te bedienen om inloggegevens vast te leggen, een waarschuwingsbericht toont waarin slachtoffers worden aangespoord om hun zaadzinnen binnen 12 te back -ups binnen 12, of anders het risico lopen de toegang tot hun portefeuilles te verliezen.
Deze social engineering -truc is niets anders dan een truc van de kant van de dreigingsacteurs om de slachtoffers te begeleiden om naar hun zaadzinnen te navigeren, die vervolgens worden geoogst door misbruik van de toegankelijkheidsdiensten, waardoor ze volledige controle over de portefeuilles kunnen krijgen en de activa kunnen aftappen.
“Het draait continu, het monitoren van de app lanceert en toont overlays om referenties te onderscheppen,” zei Threatfabric. “De malware bewaakt alle toegankelijkheidsgebeurtenissen en legt alle elementen op het scherm vast.”
Hierdoor kunnen de malware alle activiteiten van de slachtoffers op het scherm registreren en een schermopname van de inhoud van de Google Authenticator -applicatie activeren.
Een ander kenmerk van Crocodilus is het vermogen om de kwaadaardige acties op het apparaat te verbergen door een zwart schermoverlay weer te geven, evenals het dempen van geluiden, waardoor ze onopgemerkt blijven door de slachtoffers.
Enkele van de belangrijke functies die door de malware worden ondersteund, worden hieronder vermeld –
- Start opgegeven applicatie
- Zelfverwijderen van het apparaat
- Plaats een pushmelding
- Stuur sms -berichten naar alle/selecteer contacten
- Contactlijsten ophalen
- Ontvang een lijst met geïnstalleerde applicaties
- Ontvang sms -berichten
- Vraag apparaatbeheerderrechten aan
- Schakel zwarte overlay in
- Update C2 Server -instellingen
- Schakel geluid in/uit
- In-/uitschakelen van keylogging
- Maak zichzelf een standaard sms -manager
“De opkomst van de Crocodilus Mobile Banking Trojan markeert een belangrijke escalatie in de verfijning en het dreigingsniveau van moderne malware,” zei ThreatFabric.
“Met zijn geavanceerde apparaat-takeover-mogelijkheden, afstandsbedieningsfuncties en de inzet van zwarte overlayaanvallen van zijn vroegste iteraties, toont Crocodilus een niveau van volwassenheid ongewoon in nieuw ontdekte bedreigingen.”
De ontwikkeling komt als ForcePoint details bekendmaakte van een phishing-campagne die is gevonden met betrekking tot kunstaas met belastingthema om de Grandoreiro Banking Trojan te distribueren gericht op Windows-gebruikers in Mexico, Argentinië en Spanje door middel van een verduisterd visuele basisscript.
