- Krokodil infiltrerar mobiltelefoner Android att stjäla fröfraser från kryptoplånböcker.
- Den använder social ingenjörskonst och falska överlägg för att lura sina offer.
- Den är huvudsakligen verksam i Spanien och Turkiet, med möjlighet till global expansion.
- Undviker moderna säkerhetsåtgärder som t.ex. Google Play Protect och Android 13.
Android-enheter står inför ett nytt hot som hotar användarnas säkerhet: Det här är Crocodilus, en mobilbankstrojan som har upptäckts i olika delar av världen, vilket orsakar särskild oro i Spanien och Turkiet. Detta virus försöker inte bara ta kontroll över enheten, utan riktar sig också direkt mot den plånböcker av kryptovaluta, med avsikt att töm dem helt utan att användaren inser det. För att bättre förstå dessa hot kan du läsa vår artikel om cryptocurrency-relaterad skadlig kod.
Till skillnad från annan klassisk skadlig kod har Crocodilus visat sig vara särskilt smart på att kamouflera sig och undvika upptäckt, även med avancerade åtgärder som Google Play Protect.. Deras infiltrations- och bedrägerimekanismer är baserade på taktik av socialteknik, förstärkt av funktioner som fjärråtkomst och falska skärmöverlägg, som simulerar legitima applikationer för att få känslig data från sina offer.
En osynlig fiende: hur Crocodilus är installerad
Crocodilus laddas inte ner från den officiella butiken appar, men lyckas komma in i enheten som en del av andra kamouflerade applikationer. Dessa kan presenteras som attraktiva verktyg eller till synes nödvändiga uppdateringar, vilket övertygar många användare att installera dem utan misstankar. Väl inne i systemet, malware begär aktivering av Android tillgänglighetstjänst, en mycket kraftfull behörighet som ofta används för att göra enheten lättare att använda för personer med funktionsnedsättning, men som också öppnar en mycket bred dörr till åtkomst för cyberangripare.
Genom att erhålla dessa behörigheter ansluter Crocodilus till en fjärrkommando- och kontrollserver (C2), varifrån den börjar ta emot beställningar.. Dessa inkluderar vilka appar som ska övervakas, när man ska aktivera falska skärmar och hur man får önskad information. Målet är tydligt: avlyssna åtkomstuppgifter till digitala plånböcker och framför allt fånga fröfrasen, den kombinationen av ord som låter dig återställa vilket kryptokonto som helst. För mer information om denna typ av skadlig programvara kan du besöka vår analys på RAT trojaner.
När den väl har aktiverats fortsätter den skadliga programvaran att köras i bakgrunden och övervakar användarens varje steg.. Så snart den upptäcker öppningen av en kryptovaluta eller bankapp, startar den en överlagring som är identisk med den riktiga appen, tystar telefonens ljud och tar visuell kontroll över skärmen. Från det ögonblicket, Allt användaren skriver eller ser kan fångas av angriparen.
Bedrägeritaktik: social ingenjörskonst i brottets tjänst
Ett av Crocodilus mest effektiva vapen är inte tekniskt, utan psykologiskt: Skadlig programvara använder sociala ingenjörsstrategier för att manipulera användare till att tro att de måste agera omedelbart. Ett vanligt exempel är användningen av falska varningar som visas precis efter att en användare anger sitt lösenord eller PIN-kod i en kryptovalutaapp. Dessa meddelanden rekommenderar att du säkerhetskopierar fröfrasen under hot om att appen kommer att startas om inom de närmaste 12 timmarna, vilket kan leda till en permanent förlust av åtkomst.
Dessa typer av meddelanden vädjar till rädsla och skapar en falsk känsla av brådska., vilket leder till att många faller i fällan och lämnar över sina konfidentiella nycklar. När fröfrasen har erhållits, angripare kan klona plånboken och överför allt innehåll till ett annat konto utan att lämna ett spår.
Experterna på ThreatFabric, företaget cyber som upptäckte skadlig programvara, hävdar att Crocodilus uppvisar egenskaper som finns i sofistikerade hot, till exempel full enhetskontroll, tangentloggning och till och med möjligheten att fånga upp koder för tvåfaktorsautentisering (2FA) som genereras av appar som Google Authenticator. Denna situation påminner om de risker som är förknippade med webbläsarens sårbarheter.
Hotets ursprung och omfattning
Det första dokumenterade uppkomsten av Crocodilus inträffade på enheter från användare i Spanien och Türkiye., även om forskare varnar för att dess spridning kan bli mycket bredare under de kommande månaderna. Dessutom har kodfragment och anteckningar på turkiska hittats som kan indikera det geografiska ursprunget för skadlig programvara eller åtminstone nationaliteten för dess utvecklare.
Ett av de namn som oftast upprepas i analysen av specialister är "sybra", en hotaktör som tidigare har kopplats till andra virus som Hook, Octo och MetaDroid. Även om det inte kan bekräftas att han är den direkta skaparen av Crocodilus, finns det tillräckligt med indikationer som pekar på hans eventuella inblandning eller åtminstone att skadlig programvara kan vara en del av en en bredare familj av hot i ständig utveckling.
Skadlig programvaras förmåga att undvika säkerhetsmekanismer i Android 13 och senare, såväl som dess förmåga att gömma sig bakom svarta skärmar eller stänga av aviseringar, vilket sätter det ett steg före många nuvarande cybersäkerhetslösningar. Därför klassificerar säkerhetsexperter denna trojan som en av de mer komplexa och farliga hot den senaste tiden.
Är din telefon i fara? Hur man undviker att bli offer för Crocodilus
Det bästa verktyget mot denna typ av skadlig programvara är fortfarande förebyggande.. Även om viruset har utformats för att vara osynligt, kan användare vidta åtgärder för att avsevärt minska risken för infektion och skydda sin ekonomiska information. Här är några viktiga rekommendationer som experter föreslår att implementera så snart som möjligt:
- Undvik att ge åtkomstbehörigheter till okända appar: Detta tillstånd bör inte ges till någon ansökan som inte är helt betrodd.
- Installera appar endast från officiella butiker: Google Play Store, även om det inte är ofelbart, är det fortfarande säkrare än andra nedladdningskällor.
- Ställ in multifaktorautentisering (MFA) på separata enheter: Att använda Google Authenticator på samma enhet som hanterar kryptovalutor kan underlätta vissa typer av attacker.
- Använd kalla plånböcker eller hårdvara plånböcker: Att behålla privata nycklar på en offlineenhet är det bästa försvaret mot dessa typer av attacker.
- Var misstänksam mot alla meddelanden som uppmanar dig att omedelbart säkerhetskopiera din fröfras: Ingen legitim app hotar att ta bort åtkomst om en säkerhetskopia inte görs inom 12 timmar.
Det rekommenderas också att regelbundet granska de behörigheter som beviljats i Android-systeminställningarna., avinstallera misstänkt programvara och håll både operativsystemet och installerade säkerhetsapplikationer uppdaterade. Dessutom, användningen av beteendeanalyslösningar, utöver klassiska signaturdetektioner, kan vara användbart för att identifiera ovanligt beteende.
Finansiella institutioner och kryptovalutaplattformar har också en nyckelroll att spela i denna kamp.. Vissa investerar redan i system som analyserar användarbeteende i realtid för att upptäcka onormala rörelser, vilket kan hjälpa till att stoppa dessa trojaner innan bedrägliga överföringar inträffar.
Crocodilus utseende belyser en oroande verklighet: Cyberkriminella fortsätter att utveckla mer komplexa verktyg för att utnyttja det digitala ekosystemets svagheter. Dess direkta inställning till kryptotillgångar, tillsammans med dess användning av social ingenjörskonst och avancerade funktioner som fjärrkontroll och 2FA-bypass, gör det till ett hot som varken erfarna användare eller tekniska plattformar kan ignorera.
Passionerad författare om bytesvärlden och tekniken i allmänhet. Jag älskar att dela med mig av min kunskap genom att skriva, och det är vad jag kommer att göra i den här bloggen, visa dig alla de mest intressanta sakerna om prylar, mjukvara, hårdvara, tekniska trender och mer. Mitt mål är att hjälpa dig att navigera i den digitala världen på ett enkelt och underhållande sätt.