Crocodilus: célkeresztben az Android-felhasználók

Egy nemrég felfedezett rosszindulatú program, a Crocodilus, arra készteti az Android felhasználókat, hogy adják meg a kriptotárcájukhoz tartozó seed phrase-t (a kriptotárca biztonsági helyreállító kulcsát). A Crocodilus képes teljes hozzáférést szerezni az eszközhöz, átvenni az irányítását, valamint megszerezni a felhasználók érzékeny adatait is.
A támadók először egy rejtett telepítőprogramot (dropper-t) juttatnak el az áldozat eszközére, és ez a program telepíti a valódi kártevőt (malware-t) a háttérben. Amikor az áldozat megnyit egy célzott banki- vagy kriptovaluta alkalmazást, a Crocodilus egy hamis felületet tölt be az eredeti alkalmazás fölé, annak érdekében, hogy megszerezze a felhasználó bejelentkezési adatait. A Crocodilus social engineering technikával veszi rá a felhasználókat, hogy saját maguk adják meg a hozzáférést a kriptotárcájukhoz tartozó seed phrase-hez. Gyakorlatilag a képernyőn egy hamis felületet jelenít meg (lásd: 1. ábra), amelyben arra figyelmezteti a felhasználókat, hogy „A Beállítások menüpontban 12 órán belül készítsen biztonsági másolatot a kulcsról, különben elveszítheti a hozzáférést a kriptotárcájához”.

1. ábra Csaló üzenet Forrás: ThreatFabric

 

Ezután az áldozat saját maga nyitja meg a tárcája seed kifejezését (wallet key), amit a Crocodilus az Accessibility Logger segítségével kigyűjt. A megszerzett információval a támadók teljes hozzáférést szerezhetnek a tárcához, melyet végül teljesen ki is üríthetnek. A Crocodilus elindításakor a program hozzáférést kér az Accessibility Service-hez (lásd:2. ábra). Ezzel képes elérni a megjelenített tartalmakat, navigációs műveleteket végrehajtani, valamint figyelni az alkalmazásindításokat.

 

2. ábra Accessibility Service lehetőségek engedélyezése forrás: ThreatFabric

 

A malware összesen 23 különböző parancs végrehajtására képes, mint például:

  • Hívásátirányítás bekapcsolása
  • Megadott alkalmazás elindítása
  • Push értesítés küldése
  • SMS küldése az összes kontakt számára, vagy csak egy adott személy számára
  • SMS-ek lekérdezése
  • Eszközadminisztrátori jogosultság kérése
  • Fekete képernyő aktiválása
  • Hang ki- és bekapcsolása
  • Képernyő zárolása
  • Alapértelmezett SMS-kezelővé válás

Emellett RAT (remote access trojan) funkcióval is rendelkezik, amely lehetővé teszi az eszközhöz való távoli hozzáférést. A kártevő egyik RAT parancsa képes a Google Authenticator alkalmazásról képernyőképeket készíteni, így a támadók hozzáférhetnek a kétfaktoros hitelesítés során használt egyszer használatos kódokhoz is. A támadás közben az áldozat csak a fekete képernyőt látja, mellyel azt a látszatot keltik, hogy az eszköze zárolva van.

A fertőzés elkerülése érdekében a felhasználóknak javasolt kizárólag hivatalos alkalmazásboltból telepíteni az alkalmazásokat, és figyelmesen ellenőrizni az alkalmazások által kért engedélyeket. A Play Protect bekapcsolása további védelmet nyújthat az ilyen típusú fenyegetésekkel szemben.

 

(bleepingcomputer.com)