Crocodilus Android banki trójai
A ThreatFabric jelentése szerint egy új, Crocodilus nevű Android banki trójai program jelent meg. A malware fejlett eszközátvételi képességekkel rendelkezik, így a távoli hozzáférést, fekete képernyős átfedéseket és az adatok kifinomult megszerzését az Android akadálymentesítési szolgáltatásain keresztül.
A Crocodilus telepítése egy saját fejlesztésű dropper alkalmazással történik, amely képes megkerülni az Android 13 és újabb verziók korlátozásait. A telepítés után a malware engedélyt kér az akadálymentesítési szolgáltatásokhoz való hozzáféréshez. Amint ezt megkapja, kapcsolatba lép a parancs- és vezérlőszerverrel (C2), hogy utasításokat kapjon, beleértve a célzott alkalmazások listáját és az alkalmazandó átfedéseket. Folyamatosan figyeli a megnyitott alkalmazásokat, és átfedéseket jelenít meg a hitelesítő adatok megszerzése érdekében.
A Crocodilus hamis bejelentkezési képernyőket jelenít meg a legitim alkalmazások fölött, így megszerezve a felhasználók hitelesítő adatait. A malware figyeli az összes akadálymentesítési eseményt, és rögzíti a képernyőn megjelenő összes elemet, lehetővé téve a szöveges bevitel és más érzékeny adatok naplózását. A támadók teljes körű irányítást szerezhetnek a fertőzött eszköz felett, lehetővé téve számukra, hogy észrevétlenül hajtsanak végre csalárd tranzakciókat. A Crocodilus képes fekete képernyőt megjeleníteni az eszközön, miközben a háttérben rosszindulatú tevékenységeket végez, így a felhasználó nem észleli a folyamatban lévő támadást.
A kezdeti kampányok során a Crocodilus elsősorban spanyol és török bankokat, valamint több kriptovaluta pénztárcát célzott meg. A szakértők arra számítanak, hogy a malware terjedése globálisan is növekedni fog a jövőben.
A Crocodilus elsőként felfedezett mintái sybupdate címkét tartalmaznak, ami kapcsolatba hozható a sybra nevű ismert fenyegetési szereplővel. Ez a csoport korábban az Ermac forkjával, a MetaDroid-dal, valamint a Hook és Octo mobil malware-ekkel is tevékenykedett. Az elemzés során a fejlesztők által hátrahagyott hibakeresési üzenetek alapján arra lehet következtetni, hogy török nyelvű fejlesztőkről van szó.
