- Krokodille infiltrerer mobiltelefoner Android å stjele såkornfraser fra kryptolommebøker.
- Den bruker sosial manipulering og falske overlegg for å lure ofrene sine.
- Den opererer hovedsakelig i Spania og Tyrkia, med mulighet for global ekspansjon.
- Unngår moderne sikkerhetstiltak som Google Play Protect og Android 13.
Android-enheter står overfor en ny trussel som truer brukernes sikkerhet: Dette er Crocodilus, en mobilbanktrojaner som har blitt oppdaget i forskjellige deler av verden, noe som skaper særlig bekymring i Spania og Türkiye. Dette viruset søker ikke bare å ta kontroll over enheten, men retter seg også direkte mot lommebøker av kryptovaluta, med den hensikt å tømme dem helt uten at brukeren er klar over det. For bedre å forstå disse truslene, kan du se vår artikkel om cryptocurrency-relatert skadelig programvare.
I motsetning til annen klassisk skadelig programvare har Crocodilus vist seg å være spesielt smart til å kamuflere seg og unngå å bli oppdaget, selv med avanserte tiltak som Google Play Protect.. Deres infiltrasjons- og bedragsmekanismer er basert på taktikk av sosialteknikk, styrket av funksjoner som fjerntilgang og falske skjermoverlegg, som simulerer legitime applikasjoner for å få tak i sensitive data fra ofrene sine.
En usynlig fiende: hvordan Crocodilus er installert
Crocodilus lastes ikke ned fra den offisielle butikken apps, men klarer å komme inn på enheten som en del av andre kamuflerte applikasjoner. Disse kan presenteres som attraktive verktøy eller tilsynelatende nødvendige oppdateringer, som overbeviser mange brukere til å installere dem uten mistanke. Når du er inne i systemet, vil malware ber om aktivering av Android tilgjengelighetstjeneste, en svært kraftig tillatelse som ofte brukes for å gjøre enheten enklere å bruke for funksjonshemmede, men som også åpner en veldig bred dør til tilgang for nettangripere.
Ved å få disse tillatelsene kobler Crocodilus seg til en ekstern kommando- og kontrollserver (C2), hvorfra den begynner å motta bestillinger.. Disse inkluderer hvilke apper du skal overvåke, når du skal aktivere falske skjermer, og hvordan du får ønsket informasjon. Målet er klart: avskjære tilgangslegitimasjon til digitale lommebøker og fremfor alt, fange frøsetningen, den kombinasjonen av ord som lar deg gjenopprette hvilken som helst kryptokonto. For mer informasjon om denne typen skadelig programvare, kan du besøke vår analyse på RAT-trojanere.
Når den er aktivert, fortsetter skadelig programvare å kjøre i bakgrunnen og overvåker brukerens hvert trinn.. Så snart den oppdager åpningen av en kryptovaluta eller bankapp, starter den et overlegg som er identisk med den virkelige appen, demper telefonens lyd og tar visuell kontroll over skjermen. Fra det øyeblikket, Alt brukeren skriver eller ser kan fanges opp av angriperen.
Bedragstaktikk: sosial ingeniørkunst i kriminalitetens tjeneste
Et av Crocodilus mest effektive våpen er ikke teknologisk, men psykologisk: Skadevaren bruker sosiale ingeniørstrategier for å manipulere brukere til å tro at de trenger å handle raskt. Et vanlig eksempel er bruken av falske varsler som vises like etter at en bruker skriver inn passordet eller PIN-koden sin i en kryptovaluta-app. Disse varslene anbefaler å sikkerhetskopiere frøsetningen under trussel om at appen startes på nytt i løpet av de neste 12 timene, noe som kan føre til en permanent tap av tilgang.
Denne typen meldinger appellerer til frykt og genererer en falsk følelse av at det haster., noe som fører til at mange mennesker går i fellen og overleverer sine konfidensielle nøkler. Når frøsetningen er oppnådd, angripere kan klone lommeboken og overføre alt innhold til en annen konto uten å etterlate spor.
Ekspertene hos ThreatFabric, selskapet Cybersecurity som oppdaget skadelig programvare, hevder at Crocodilus viser egenskaper som finnes i sofistikerte trusler, for eksempel full enhetskontroll, tastelogging og til og med muligheten til å avskjære koder for tofaktorautentisering (2FA) generert av apper som Google Authenticator. Denne situasjonen husker risikoene forbundet med sårbarheter i nettleseren.
Opprinnelse og omfang av trusselen
Det første dokumenterte utseendet til Crocodilus skjedde på enheter til brukere i Spania og Türkiye., selv om forskere advarer om at spredningen kan bli mye større i de kommende månedene. I tillegg er det funnet kodefragmenter og notater på tyrkisk som kan indikere den geografiske opprinnelsen til skadevaren eller i det minste nasjonaliteten til utviklerne.
Et av navnene som oftest gjentas i analyse av spesialister er "sybra", en trusselaktør som tidligere har vært knyttet til andre virus som Hook, Octo og MetaDroid. Selv om det ikke kan bekreftes at han er den direkte skaperen av Crocodilus, er det nok indikasjoner som peker på hans mulige involvering, eller i det minste at skadevaren kan være en del av en bredere familie av trusler i konstant utvikling.
Skadevarens evne til å unngå sikkerhetsmekanismer i Android 13 og nyere, samt dens evne til å gjemme seg bak svarte skjermer eller dempe varsler, og setter det et skritt foran mange nåværende cybersikkerhetsløsninger. Derfor klassifiserer sikkerhetseksperter denne trojaneren som en av de mer komplekse og farlige trusler av nyere tid.
Er telefonen i faresonen? Hvordan unngå å bli et offer for Crocodilus
Det beste verktøyet mot denne typen skadelig programvare er fortsatt forebygging.. Selv om viruset er designet for å være usynlig, kan brukere ta skritt for å redusere risikoen for infeksjon betydelig og beskytte deres økonomiske informasjon. Her er noen viktige anbefalinger som eksperter foreslår å implementere så snart som mulig:
- Unngå å gi tilgjengelighetstillatelser til ukjente apper: Denne tillatelsen skal ikke gis til søknader som ikke er fullt ut klarert.
- Installer apper kun fra offisielle butikker: Google Play-butikken, selv om det ikke er ufeilbarlig, er det fortsatt tryggere enn andre nedlastingskilder.
- Sett opp multifaktorautentisering (MFA) på separate enheter: Bruk av Google Authenticator på samme enhet som administrerer kryptovalutaer kan lette visse typer angrep.
- Bruk kalde lommebøker eller maskinvare lommebøker: Å beholde private nøkler på en frakoblet enhet er det beste forsvaret mot denne typen angrep.
- Vær mistenksom overfor meldinger som ber deg om å umiddelbart sikkerhetskopiere frøsetningen din: Ingen legitime apper truer med å fjerne tilgangen hvis det ikke blir tatt sikkerhetskopi innen 12 timer.
Det anbefales også å periodisk gjennomgå tillatelsene som er gitt i Android-systeminnstillingene., avinstaller mistenkelig programvare og hold både operativsystemet og installerte sikkerhetsapplikasjoner oppdatert. I tillegg, bruk av atferdsanalyseløsninger, utover klassiske signaturdeteksjoner, kan være nyttig for å identifisere uvanlig atferd.
Finansinstitusjoner og kryptovalutaplattformer har også en nøkkelrolle å spille i denne kampen.. Noen investerer allerede i systemer som analyserer brukeratferd i sanntid for å oppdage unormale bevegelser, noe som kan bidra til å stoppe disse trojanerne før uredelige overføringer skjer.
Utseendet til Crocodilus fremhever en bekymringsfull virkelighet: Nettkriminelle fortsetter å utvikle mer komplekse verktøy for å utnytte svakhetene ved det digitale økosystemet. Dens direkte tilnærming til kryptoaktiva, kombinert med bruken av sosial teknikk og avanserte funksjoner som fjernkontroll og 2FA bypass, gjør det til en trussel som verken erfarne brukere eller teknologiplattformer kan ignorere.
Lidenskapelig forfatter om verden av bytes og teknologi generelt. Jeg elsker å dele kunnskapen min gjennom å skrive, og det er det jeg skal gjøre i denne bloggen, vise deg alle de mest interessante tingene om dingser, programvare, maskinvare, teknologiske trender og mer. Målet mitt er å hjelpe deg med å navigere i den digitale verden på en enkel og underholdende måte.