شرکت امنیت سایبری Threat Fabric اعلام کرد یک خانواده جدید از بدافزارهای مخصوص موبایل را شناسایی کرده که لایهای جعلی روی برخی اپلیکیشنها ایجاد میکند تا کاربران اندروید را فریب داده و آنها را وادار به ارائه عبارت بازیابی (Seed Phrase) کیف پول کریپتوییشان کند، در حالی که بهطور همزمان کنترل کامل دستگاه را به دست میگیرد.
به گزارش میهن بلاکچین، تحلیلگران Threat Fabric در گزارش ۲۸ مارس (۸ فروردین) خود اعلام کردند که بدافزار Crocodilus از یک صفحه پوششی (Overlay) استفاده میکند که به کاربران هشدار میدهد تا پیش از یک مهلت مشخص، از کلید کیف پول ارز دیجیتال خود بکآپ (Backup) بگیرند، در غیر این صورت، ممکن است دسترسی خود را از دست بدهند.
دادههای شرکت Threat Fabric درباره بدافزار Crocodilus
این شرکت امنیتی توضیح داده است:
پس از اینکه قربانی رمز عبور خود را درون اپلیکیشن وارد کرد، لایه جعلی پیامی به اینشکل نمایش میدهد: «طی ۱۲ ساعت آینده از کلید کیف پول خود در تنظیمات Backup بگیرید؛ در غیر این صورت، برنامه ریست شده و ممکن است دسترسی خود را از دست بدهید».
این ترفند مهندسی اجتماعی، قربانی را به بخش عبارت بازیابی کیف پول هدایت میکند؛ جایی که Crocodilus میتواند متن را از طریق ابزار ثبت دسترسی (Accessibility Logger) استخراج کند. پس از بهدست آوردن عبارت بازیابی، مهاجمان میتوانند کنترل کامل کیف پول را در اختیار بگیرند و داراییهای آن را بهطور کامل تخلیه کنند.
طبق دادههای شرکت Threat Fabric، با وجود جدید بودن این بدافزار، Crocodilus تمامی ویژگیهای بدافزارهای بانکی مدرن، از جمله حملات پوششی، جمعآوری پیشرفته دادهها از طریق ثبت تصاویر صفحه (Screen Capture) برای سرقت اطلاعات حساسی مانند رمز عبور و همچنین دسترسی از راه دور برای کنترل دستگاه آلوده را دارد.
این بدافزار معمولاً از طریق دانلود ناخواسته در قالب نرمافزارهای دیگر که از سد اندروید ۱۳ و لایههای امنیتی عبور کردهاند، در دستگاهها نفوذ میکند. پس از نصب، Crocodilus درخواست فعالسازی سرویس دسترسی (Accessibility Service) را میدهد که به هکرها اجازه میدهد کنترل دستگاه را بهدست بگیرند.
کارشناسان Threat Fabric توضیح دادهاند:
پس از دریافت این مجوز، بدافزار به سرور فرمان و کنترل (C2) متصل شده و دستوراتی را دریافت میکند که شامل لیست اپلیکیشنهای هدف و لایههای پوششی مورد استفاده است.
این بدافزار بهطور مداوم اجرا میشود، فعالیت اپلیکیشنها را زیر نظر میگیرد و با نمایش پوششهای جعلی، اطلاعات ورود کاربران را رهگیری میکند. هنگامی که یک اپلیکیشن بانکی یا رمزارزی مورد هدف باز میشود، Crocodilus لایه جعلی خود را روی آن نمایش داده و در عین حال، صدای دستگاه را قطع میکند تا مهاجمان بدون جلب توجه، کنترل کامل گوشی را به دست بگیرند.
در اظهارات کارشناسان Threat Fabric آمده است:
با سرقت اطلاعات هویتی و دادههای ورود، مهاجمان میتوانند از طریق دسترسی از راه دور، کنترل کامل دستگاه قربانی را به دست آورده و تراکنشهای جعلی را بدون نیاز به شناسایی انجام دهند.
تیم اطلاعات تهدیدات موبایلی Threat Fabric دریافته است که این بدافزار در حال حاضر کاربران ترکیه و اسپانیا را هدف قرار داده، اما احتمالاً دامنه حملات آن در آینده گسترش خواهد یافت.
همچنین، آنها حدس میزنند که توسعهدهندگان این بدافزار ترکزبان باشند، زیرا در کدهای آن یادداشتهایی به زبان ترکی دیده شده است. افزون بر این، احتمال دارد یک عامل تهدید با نام Sybra یا یک هکر دیگر که در حال آزمایش نرمافزار جدیدی است، پشت این بدافزار باشد.
شرکت Threat Fabric هشدار داده است:
ظهور ویروس بانکی موبایلی Crocodilus نشاندهنده تشدید قابلتوجه سطح پیچیدگی و تهدید بدافزارهای مدرن است. با توجه به قابلیتهای پیشرفته این بدافزار برای تصاحب دستگاه، کنترل از راه دور و اجرای حملات پوششی سیاه از همان نسخههای اولیه، Crocodilus سطحی از بلوغ را نشان میدهد که در تهدیدات تازه کشفشده، کمتر دیده میشود.
