Crocodilus: novi Android bankarski trojanac

Istraživači sajber bezbjednosti otkrili su novi android malver pod nazivom Crocodilus koji je najprije targetirao korisnike u Turskoj i Španiji. Za razliku od tradicionalnih bankarskih trojanaca Crocodilus koristi napredne tehnike poput kontrole udaljenog pristupa, crnih preklapajućih ekrana (engl.black screen overlays) i zloupotrebe kontrole pristupa kako bi izvodio prevarne transakcije i krao osjetljive podatke.

Maskiran kao Google chrome („quizzical.washbowl.calamity”) zaobilazi bezbjednosna ograničenja Androida 13+ i nakon instalacije dobija pristup ovim ključnim uslugama. Na taj način ovaj malver biva u mogućnosti da presreće kredencijale, prati upotrebu aplikacija, snima kodove iz Google Authenticator-a i čak manipuliše kripto-novčanicama tako što obmanjuje korisnike da otkriju svoje „seed phrase“ kodove.

Proces napada malvera Crocodilus odvija se kroz nekoliko faza:

• Infekcija uređaja – malver se maksira kao gore pomenuta legitimna aplikacija, najčešće Google Chrome sa lažnim nazivom paketa quizzical.washbowl.calamity, a korisnik ga preuzima i instalira često putem phishing kampanja ili malicioznih linkova.
• Dobijanje pristupa i ovlašćenja – nakon pokretanja, aplikacija traži dozvole za usluge pristupačnosti. Ako korisnik odobri Crocodilus dobija potpunu kontrolu nad uređajem, može presretati korisnikove unose, čitati ekran i automatski izvršavati komande.
• Kontakt sa komandnim serverom (C2) – malver se povezuje sa daljinskim serverom napadača, dobija instrukcije, listu bankarskih aplikacija za napad i HTML preklapajuće ekrane za krađu podataka.
• Napad na bankarske aplikacije – kada korisnik otvori bankarsku aplikaciju, Crocodilus prikazuje lažnu prijavnu stranicu (overlay) i krade kredencijale. Može presretati i kodove za verifikaciju i snimati Google Authenticator ekrane.
• Napad na kripto novčanike – kada korisnik otvori kripto novčanik malver prikazuje lažnu poruku koja traži sigurnosno kopiranje seed phrase-a. Korisnik unosi svoj seed phrase a malver ga šalje napadačima omogućavajući im krađu sredstava.
• Održavanje kontrole i prikrivanje aktivnosti – koristi crni preklapajući ekran da sakrije aktivnosti kada izvršava transakcije, može isključiti zvuk i obavještanja kako korisnik ne bi primijetio sumnjive radnje, uklanja se sam sa uređaja nakon izvršenja napada kako bi sakrio tragove.

Istraživači upozoravaju da Crocodilus predstavlja značajnu prijetnju zbog svojih naprednih sposobnosti preuzimanja uređaja i sofisticiranih metoda napada. Njegova sposobnost da krade podatke bez da žrtva primijeti čini ga jednom od ozbiljnijih mobilnih prijetnji.

Da bi se korisnici mobilnih uređaja zaštitili od Crocodilus malvera i sličnih prijetnji, potrebno je da izbjegavaju instaliranje aplikacija iz neprovjerenih izvora, da obrate pažnju na dozvole aplikacija, da ažuriraju svoj android i aplikacije u njemu, da koriste pouzdane antivirus programe, ne dijele svoje bankarske podatke i seed phrase. Čudno ponašanje telefona takođe može biti indikator – ukoliko ekran potamni sam od sebe, telefon uspori ili aplikacije rade neobično, možda ste zaraženi.