Цроцодилус: нови Андроид банкарски тројанац

Истраживачи сајбер безбједности открили су нови андроид малвер под називом Цроцодилус који је најприје таргетирао кориснике у Турској и Шпанији. За разлику од традиционалних банкарских тројанаца Цроцодилус користи напредне технике попут контроле удаљеног приступа, црних преклапајућих екрана (енгл.блацк сцреен оверлаyс) и злоупотребе контроле приступа како би изводио преварне трансакције и крао осјетљиве податке.

Маскиран као Гоогле Chrome („qуиззицал.wасхбоwл.цаламитy”) заобилази безбједносна ограничења Андроида 13+ и након инсталације добија приступ овим кључним услугама. На тај начин овај малвер бива у могућности да пресреће креденцијале, прати употребу апликација, снима кодове из Гоогле Аутхентицатор-а и чак манипулише крипто-новчаницама тако што обмањује кориснике да открију своје „сеед пхрасе“ кодове.

Процес напада малвера Цроцодилус одвија се кроз неколико фаза:

• Инфекција уређаја – малвер се максира као горе поменута легитимна апликација, најчешће Гоогле Chrome са лажним називом пакета qуиззицал.wасхбоwл.цаламитy, а корисник га преузима и инсталира често путем пхисхинг кампања или малициозних линкова.
• Добијање приступа и овлашћења – након покретања, апликација тражи дозволе за услуге приступачности. Ако корисник одобри Цроцодилус добија потпуну контролу над уређајем, може пресретати корисникове уносе, читати екран и аутоматски извршавати команде.
• Контакт са командним сервером (Ц2) – малвер се повезује са даљинским сервером нападача, добија инструкције, листу банкарских апликација за напад и ХТМЛ преклапајуће екране за крађу података.
• Напад на банкарске апликације – када корисник отвори банкарску апликацију, Цроцодилус приказује лажну пријавну страницу (оверлаy) и краде креденцијале. Може пресретати и кодове за верификацију и снимати Гоогле Аутхентицатор екране.
• Напад на крипто новчанике – када корисник отвори крипто новчаник малвер приказује лажну поруку која тражи сигурносно копирање сеед пхрасе-а. Корисник уноси свој сеед пхрасе а малвер га шаље нападачима омогућавајући им крађу средстава.
• Одржавање контроле и прикривање активности – користи црни преклапајући екран да сакрије активности када извршава трансакције, може искључити звук и обавјештања како корисник не би примијетио сумњиве радње, уклања се сам са уређаја након извршења напада како би сакрио трагове.

Истраживачи упозоравају да Цроцодилус представља значајну пријетњу због својих напредних способности преузимања уређаја и софистицираних метода напада. Његова способност да краде податке без да жртва примијети чини га једном од озбиљнијих мобилних пријетњи.

Да би се корисници мобилних уређаја заштитили од Цроцодилус малвера и сличних пријетњи, потребно је да избјегавају инсталирање апликација из непровјерених извора, да обрате пажњу на дозволе апликација, да ажурирају свој андроид и апликације у њему, да користе поуздане антивирус програме, не дијеле своје банкарске податке и сеед пхрасе. Чудно понашање телефона такође може бити индикатор – уколико екран потамни сам од себе, телефон успори или апликације раде необично, можда сте заражени.