Недавно обнаруженная вредоносная программа для Android под названием Crocodilus обманывает пользователей, заставляя их предоставить начальную фразу для криптовалютного кошелька с предупреждением о необходимости создать резервную копию ключа, чтобы избежать потери доступа.
Хотя Crocodilus – это новая банковская вредоносная программа, она обладает вполне развитыми возможностями по захвату контроля над устройством, сбору данных и удаленному управлению.
Исследователи из компании ThreatFabric, специализирующейся на предотвращении мошенничества, утверждают, что вредоносная программа распространяется через собственный дроппер, который обходит защиту Android 13 (и более поздних версий).
Дроппер устанавливает вредоносное ПО без срабатывания Play Protect, а также обходит ограничения Accessibility Service.
Особенность Crocodilus заключается в том, что он использует социальную инженерию, чтобы заставить жертву предоставить доступ к начальной фразе своего криптокошелька.
Для этого на экране появляется предупреждение о необходимости «создать резервную копию ключа кошелька в настройках в течение 12 часов», иначе вы рискуете потерять доступ к своему кошельку.
«Это действие социальной инженерии заставляет жертву перейти к своей начальной фразе (ключу кошелька), что позволяет Crocodilus собрать текст с помощью своего Accessibility Logger»
- поясняет ThreatFabric
«Обладая этой информацией, злоумышленники могут захватить полный контроль над кошельком и полностью его опустошить».
В своих первых версиях Crocodilus нацеливался на пользователей из Турции и Испании, в том числе на банковские счета из этих двух стран. Судя по отладочным сообщениям, вредоносная программа имеет турецкое происхождение.
Неясно, как происходит первоначальное заражение, но обычно жертв обманом заставляют загрузить дропперы через вредоносные сайты, фальшивые рекламные предложения в социальных сетях или SMS, а также через сторонние магазины приложений.
После запуска Crocodilus получает доступ к Accessibility Service, обычно предназначенной для помощи людям с ограниченными возможностями, чтобы разблокировать доступ к содержимому экрана, выполнять навигационные жесты и следить за запуском приложений.
Когда жертва открывает целевое банковское или криптовалютное приложение, Crocodilus загружает поверх настоящего приложения фальшивый оверлей, чтобы перехватить учетные данные жертвы.
Бот-компонент вредоносной программы поддерживает набор из 23 команд, которые он может выполнять на устройстве, включая:
- Включить переадресацию вызовов
- Запуск определенного приложения
- Отправить push-уведомление
- Отправить SMS всем контактам или указанному номеру.
- Получить SMS-сообщения
- Запрос привилегий администратора устройства
- Включить/выключить звук
- Экран блокировки
- Сделать себя менеджером SMS по умолчанию
Вредоносная программа также предлагает функции трояна удаленного доступа (RAT), позволяющие операторам нажимать на экран, перемещаться по пользовательскому интерфейсу, выполнять жесты пролистывания и многое другое.
Есть также специальная команда RAT для создания скриншота экрана приложения Google Authenticator и перехвата кодов одноразовых паролей, используемых для защиты аккаунтов с двухфакторной аутентификацией.
Во время выполнения этих действий операторы Crocodilus могут активировать наложение черного экрана и отключить звук на устройстве, чтобы скрыть действия от жертвы и создать впечатление, что устройство заблокировано.
Несмотря на то что в настоящее время деятельность Crocodilus ограничена Испанией и Турцией, вредоносная программа может расширить свою деятельность, добавив в список своих целей другие приложения и страны.
Пользователям Android рекомендуется избегать загрузки APK извне Google Play и убедиться, что Play Protect всегда активен на их устройствах.