الجديد Android Trojan Crocodilus ينتهك إمكانية الوصول لسرقة بيانات الاعتماد على الخدمات المصرفية والتشفير
اكتشف باحثو الأمن السيبرانيين برامج ضارة مصرفية جديدة Android تسمى التماسيح هذا مصمم في المقام الأول لاستهداف المستخدمين في إسبانيا وتركيا.
“Crocodilus يدخل المشهد ليس بمثابة استنساخ بسيط ، ولكن كتهديد كامل منذ البداية ، مزود بتقنيات حديثة مثل التحكم عن بُعد ، وتراكب الشاشة السوداء ، وجعل البيانات المتقدمة عن طريق تسجيل إمكانية الوصول ،” Threatfabric قال.
كما هو الحال مع أحصنة طروادة المصرفية الأخرى من نوعها ، تم تصميم البرامج الضارة لتسهيل الاستحواذ على الأجهزة (DTO) وإجراء معاملات احتيالية في النهاية. يكشف تحليل رمز المصدر ورسائل التصحيح أن مؤلف البرامج الضارة يتحدث التركية.
تم تحليلي مصنوعات Crocodilus التي تم تحليلها من قبل شركة أمان الهواتف الهولندية على أنها Google Chrome (اسم الحزمة: “quizzical.washbowl.calamity”) ، والتي تعمل كقطار قادر على تجاوز القيود Android 13+.
بمجرد تثبيته وإطلاقه ، يطلب التطبيق إذنًا لخدمات الوصول إلى Android ، وبعد ذلك تم إنشاء جهة اتصال مع خادم بعيد لتلقي المزيد من الإرشادات ، وقائمة التطبيقات المالية التي سيتم استهدافها ، وتراكبات HTML لاستخدامها لسرقة بيانات الاعتماد.
Crocodilus قادر أيضًا على استهداف محافظ العملة المشفرة مع تراكب ، بدلاً من تقديم صفحة تسجيل دخول مزيفة لالتقاط معلومات تسجيل الدخول ، تظهر رسالة تنبيه تحث الضحايا على النسخ الاحتياطي لعبارات البذور في غضون 12 ، أو تخاطر بفقدان الوصول إلى محافظهم.
هذه الخدعة الهندسية الاجتماعية ليست سوى حيلة من جانب ممثلي التهديد لتوجيه الضحايا للتنقل إلى عباراتهم البذرة ، والتي يتم حصادها بعد ذلك من خلال إساءة استخدام خدمات الوصول ، وبالتالي السماح لهم بالسيطرة الكاملة على المحافظ واستنزاف الأصول.
وقال Thankfabric: “إنه يعمل بشكل مستمر ، ومراقبة إطلاق التطبيقات وعرض التراكبات لاعتراض بيانات الاعتماد”. “تراقب البرامج الضارة جميع أحداث إمكانية الوصول وتلتقط جميع العناصر المعروضة على الشاشة.”
يسمح ذلك للبرامج الضارة بتسجيل جميع الأنشطة التي يقوم بها الضحايا على الشاشة ، بالإضافة إلى تشغيل التقاط الشاشة لمحتويات تطبيق Google Authenticator.
ميزة أخرى من Crocodilus هي قدرتها على إخفاء الإجراءات الضارة على الجهاز من خلال عرض تراكب الشاشة السوداء ، وكذلك الأصوات كتم ، وبالتالي ضمان أن يظل الضحايا دون أن يلاحظهم أحد.
توجد بعض الميزات المهمة التي تدعمها البرامج الضارة أدناه –
- إطلاق التطبيق المحدد
- إخلاء ذاتي من الجهاز
- نشر إشعار الدفع
- إرسال رسائل الرسائل القصيرة إلى جميع/تحديد جهات الاتصال
- استرداد قوائم جهات الاتصال
- احصل على قائمة بالتطبيقات المثبتة
- احصل على رسائل الرسائل القصيرة
- طلب امتيازات مسؤول الجهاز
- تمكين تراكب أسود
- تحديث إعدادات خادم C2
- تمكين/تعطيل الصوت
- تمكين/تعطيل الكفالة
- اجعل نفسها مديرًا افتراضيًا للرسائل القصيرة
وقال ترينفابريك: “إن ظهور طروادة الخدمات المصرفية المتنقلة يمثل تصعيدًا كبيرًا في مستوى التطور والتهديد الذي تشكله البرامج الخبيثة الحديثة”.
“من خلال قدراتها المتقدمة في الجهاز ، وميزات التحكم عن بُعد ، ونشر هجمات التراكب الأسود من أقدم تكراراتها ، يوضح التماسيح مستوى من النضج غير شائع في التهديدات المكتشفة حديثًا.”
ويأتي هذا التطور كقذيفة تم الكشف عنها تفاصيل حملة التصيد التي تم العثور عليها توظف سحرًا تحت عنوان الضرائب لتوزيع Grandoreiro Banking Trojan التي تستهدف مستخدمي Windows في المكسيك والأرجنتين وإسبانيا عن طريق البرنامج النصي الأساسي البصري.
إرسال التعليق