Нови малвер погађа Андроид телефоне

Информација.рс
Додај glassrpske.com као Гугле извор
Фото: Hexnode.com

Истраживачи компаније ThreatFabric открили су нови малвер за Андроид под називом Crocodilus, који може да преузме контролу над инфицираним уређајем.

Истраживачи кажу да се малвер дистрибуира преко дроппера који заобилази безбједносне заштите Андроида 13 и новијих верзија. Dropper инсталира малвер без покретања Play Protectа и заобилази ограничења Accessibility Service.

Оно што Crocodilus чини посебним је то што користи социјални инжењеринг како би жртве дале приступ свом крипто новчанику. То се постиже упозорењем које преклапа екран да корисници морају да "направе резервну копију кључа новчаника у подешавањима у року од 12 сати" или ризикују да изгубе приступ свом новчанику.

"Овај трик соци инжењеринга води жртву да њене сеед фразе (кључ новчаника), омогућавајући Crocodilusu да је украде користећи свој Accessibility Logger", објашњава ThreatFabric.

"Са овим информацијама, нападачи могу да преузму потпуну контролу над новчаником и потпуно га испразне", додаје се у саопштењу, .

У својим првим операцијама Цроцодилус је циљао кориснике у Турској и Шпанији, и банковне рачуне из те двије земље. По свему судећи малвер је турског поријекла.

Нејасно је како долази до инфекције, али обично су жртве преварене да преузму дроппер са злонамјерних сајтова, преко лажних реклама на друштвеним мрежама или СМС-а и незваничних продавница апликација.

Када се покрене, Crocodilus добија приступ Accessibility Service, који је намијењен за помоћ особама са инвалидитетом, да би добио приступ садржају на екрану и надгледао покретање апликација.

Када жртва отвори апликацију банке или новчаник за криптовалуту, Crocodilusучитава лажни екран преко праве апликације како би пресрео податке за пријављивање на налог жртве.

Малвер подржава 23 команде које може да изврши на уређају, укључујући просљеђивање позива, покретање одређене апликације, објављивање пусх обавијештења, слање СМС-ова свим контактима или одређеном броју, добијање СМС поруке, захтјевање привилегија администратора уређаја, укључивање и искључивање звука, закључавање екрана, као и да буде подразумијевана СМС апликација.

Малвер такође нуди функцију тројанаца за даљински приступ (РАТ), која омогућава оператерима да додирују екран, крећу се по корисничком интерфејсу, изводе покрете превлачења и још много тога.

Постоји и наменска РАТ команда за скриншот апликације Google Authenticator и снимање једнократних кодова који се користе за заштиту налога двофакторском аутентификацијом.

Док обављају ове радње, оператери могу да активирају преклапање црног екрана и искључе звук уређаја како би од жртве сакрили оно што се дешава на уређају тако да њој изгледа као да је уређај закључан.

Малвер би ускоро могао да се прошири по цијелом свијету, а они који стоје иза овог малвера могли би додати још апликација на листу циљаних апликација.

Корисницима Андроида се савјетује да избјегавају преузимање АПК-ова изван Google Play и да Play Protect буде увијек активан на њиховим уређајима.

Пратите нас на нашој Фејсбук и Инстаграм страници и X налогу.