Добивајте вести на Viber
Истражувачите од „ThreatFabric“ открија нов злонамерен софтвер на „Android“ наречен „Crocodilus“, кој може да ја преземе контролата врз заразениот уред.
Што може да направи?
Додека ги извршуваат овие дејства, операторите можат да активираат црн екран и да го исклучат звукот на уредот за да скријат што се случува на уредот од жртвата, правејќи да изгледа како уредот да е заклучен.
Истражувачите велат дека малициозниот софтвер се дистрибуира преку капалка што ја заобиколува безбедносната заштита на „Android 13“ и поновите верзии. Напаѓачот инсталира малициозен софтвер без да работи „Play Protect“ и ги заобиколува ограничувањата на услугата за пристапност.
Исто така, постои посветена команда „RAT“ за сликање од екранот на апликацијата „Google Authenticator“ и снимање на еднократни кодови што се користат за заштита на сметките со автентикација со два фактори.
Не е јасно како настанува инфекцијата, но обично жртвите се измамени да го преземат „dropper“ од малициозни веб-локации, преку лажни реклами на социјалните медиуми или СМС и неофицијални продавници за апликации.
Злонамерниот софтвер поддржува 23 команди што може да ги изврши на уредот, вклучително и препраќање повици, стартување одредена апликација, објавување притисни известувања, испраќање СМС на сите контакти или одреден број, примање СМС-порака, барање администраторски привилегии, вклучување и исклучување на звукот, заклучување на екранот и правење стандардна СМС апликација.
Она што го прави „Crocodilus“ посебен е тоа што користи социјален инженеринг за да им овозможи на жртвите пристап до нивниот криптопаричник. Ова се постигнува со предупредување што го прекрива екранот дека корисниците мора да „направат резервна копија од клучот од својот паричник во поставките во рок од 12 часа“ или ризикуваат да го изгубат пристапот до нивниот паричник.
Злонамерниот софтвер нуди и функција за далечински пристап тројанец (RAT), која им овозможува на операторите да го допираат екранот, да се движат низ корисничкиот интерфејс, да вршат гестови со лизгање и многу повеќе.
„Со овие информации, напаѓачите можат да преземат целосна контрола над паричникот и целосно да го испразнат“, се додава во соопштението.
Кога жртвата отвора банкарска апликација или паричник за криптовалути, „Crocodilus“ вчитува лажен екран преку вистинската апликација за да ги пресретне деталите за најавување на сметката на жртвата.
На корисниците на „Android“ им се препорачува да избегнуваат преземање апликации надвор од „Google Play“ и секогаш да го одржуваат „Play Protect“ активен на своите уреди.
Во своите први операции, „Crocodilus“ таргетираше корисници во Турција и Шпанија и банкарски сметки од тие две земји. Очигледно, малициозниот софтвер е од турско потекло.
„Овој трик за социјално инженерство ја наведува жртвата да се откаже од својата фраза за семе (клуч од паричник), дозволувајќи му на ‘Crocodilus’ да ја украде со помош на својот логер за пристапност“, објаснува „ThreatFabric“.
Малициозен софтвер наскоро би можел да се прошири низ целиот свет, а оние кои стојат зад овој малициозен софтвер би можеле да додадат повеќе апликации на списокот со целни апликации.
