Uważaj na tę aplikację. "Crocodilus" atakuje urządzenia z Androidem

"Crocodilus". Zaawansowany trojan bankowy

Złośliwe oprogramowanie trafia na urządzenie ofiary poprzez obejście zabezpieczeń systemu Android 13 i nowszych, wykorzystując usługę Dropper-as-a-Service (DaaS). Mechanizm ten opiera się na dwuetapowym procesie infekcji, który umożliwia cyberprzestępcom skuteczne ominięcie współczesnych mechanizmów ochronnych - w tym funkcji Restricted Settings w Androidzie 13 - bez wzbudzania podejrzeń i ryzyka wykrycia.

Następnie malware żąda włączenia usługi ułatwień dostępu (ang. Accessibility Service) i łączy się ze zbójeckim serwerem command-and-control (C2), aby pobrać instrukcje monitorowania uruchamianych aplikacji i wyświetlania nakładek w celu przechwycenia danych uwierzytelniających. Wspomniane nakładki to tzw. overlay attacks - technika stosowana przez cyberprzestępców, polegająca na nakładaniu fałszywego interfejsu na ekran legalnej aplikacji, na przykład bankowej, w celu wyłudzenia danych od użytkownika.

W efekcie takich działań ofiara nieświadomie wpisuje poufne dane w fałszywym oknie, sądząc, że korzysta z autentycznej aplikacji. Ataki typu overlay najczęściej dotyczą urządzeń z systemem Android - jego elastyczność umożliwia aplikacjom wyświetlanie treści nad innymi, co sprzyja tego rodzaju nadużyciom.

REKLAMA

Jednym z najbardziej znanych przykładów takiej techniki w sektorze finansowym jest trojan bankowy Godfather, po raz pierwszy wykryty w 2021 roku. Od tamtej pory znacznie się rozwinął i obecnie atakuje setki aplikacji bankowych na całym świecie, szczególnie w Europie i Stanach Zjednoczonych.

"Crocodilus". Działanie odnotowano w Polsce

Początkowo aktywność "Crocodilusa" została zarejestrowana przez Threat Fabric jedynie w Hiszpanii i Turcji, jednak w ostatnim czasie lista celów poszerzyła się o inne kraje europejskie, w tym także o Polskę oraz państwa Ameryki Południowej. W jednej z kampanii prowadzonych w Polsce cyberprzestępcy wykorzystali reklamy na Facebooku (Facebook Ads), zachęcając użytkowników do pobrania aplikacji w zamian za rzekomy "bonus 1000 zł na zakupy". Jak informuje Threat Fabric, reklamy były aktywne maksymalnie przez 1-2 godziny - po tym czasie zostały usunięte przez firmę Meta. Jednak zanim to nastąpiło, każda z nich zdążyła osiągnąć ponad tysiąc wyświetleń.

Na początku czerwca badacze zaobserwowali najnowszą wersję tego złośliwego oprogramowania, która zyskała m.in. możliwość dodawania fałszywych kontaktów na urządzeniu ofiary. Umożliwia to cyberprzestępcom podszywanie się pod zaufane instytucje, firmy lub członków rodziny, co sprawia, że połączenia wydają się bardziej autentyczne.

Nowa wersja zawiera również automatyczny moduł do zbierania tzw. seed phrases - kluczy służących do odzyskiwania portfeli kryptowalutowych. Dodatkowo ulepszono techniki obfuskacji zarówno w dropperze, jak i w samym złośliwym payloadzie.

REKLAMA

"Crocodilus". Jak się chronić?

Zaczyna się niewinnie - reklama na Facebooku, atrakcyjna oferta, szybka instalacja aplikacji. Dlatego najważniejsze to instalować aplikacje wyłącznie ze sprawdzonych źródeł, najlepiej z Google Play. Ale i tam warto być czujnym - nie każda aplikacja jest bezpieczna tylko dlatego, że przeszła weryfikację.

Na Androidzie przyda się funkcja Google Play Protect - działa w tle, ostrzega, gdy coś wygląda podejrzanie, a czasem samodzielnie usuwa szkodliwe oprogramowanie. Warto też sprawdzić, które aplikacje mają prawo wyświetlać treści nad innymi - to właśnie ten mechanizm wykorzystują nakładki phishingowe. Znajdziesz go w ustawieniach telefonu, w sekcji dotyczącej specjalnych uprawnień.

• Nowe badania: 8 problemów psychicznych łączy jedna przyczyna
• ESA zbudowała nowy teleskop. Pomoże wykryć asteroidy
• Miejsca w Polsce, w których możesz poczuć się jak astronauta

Źródła: Sekurak/Biznesinfo.pl/nł

REKLAMA