حمله جدید بدافزارهای موبایلی؛ Crocodilus با ترفند مهندسی اجتماعی کیف پول‌ها را خالی می‌کند

شرکت امنیت سایبری Threat Fabric اعلام کرد یک خانواده جدید از بدافزارهای مخصوص موبایل را شناسایی کرده که لایه‌ای جعلی روی برخی اپلیکیشن‌ها ایجاد می‌کند تا کاربران اندروید را فریب داده و آن‌ها را وادار به ارائه عبارت بازیابی (Seed Phrase) کیف پول کریپتویی‌شان کند، در حالی که به‌طور هم‌زمان کنترل کامل دستگاه را به دست می‌گیرد.

به گزارش میهن بلاکچین، تحلیلگران Threat Fabric در گزارش ۲۸ مارس (۸ فروردین) خود اعلام کردند که بدافزار Crocodilus از یک صفحه پوششی (Overlay) استفاده می‌کند که به کاربران هشدار می‌دهد تا پیش از یک مهلت مشخص، از کلید کیف پول ارز دیجیتال خود بک‌آپ (Backup) بگیرند، در غیر این صورت، ممکن است دسترسی خود را از دست بدهند.

داده‌های شرکت Threat Fabric درباره بدافزار Crocodilus

این شرکت امنیتی توضیح داده است:

پس از اینکه قربانی رمز عبور خود را درون اپلیکیشن وارد کرد، لایه جعلی پیامی به این‌شکل نمایش می‌دهد: «طی ۱۲ ساعت آینده از کلید کیف پول خود در تنظیمات Backup بگیرید؛ در غیر این صورت، برنامه ریست شده و ممکن است دسترسی خود را از دست بدهید».

این ترفند مهندسی اجتماعی، قربانی را به بخش عبارت بازیابی کیف پول هدایت می‌کند؛ جایی که Crocodilus می‌تواند متن را از طریق ابزار ثبت دسترسی (Accessibility Logger) استخراج کند. پس از به‌دست آوردن عبارت بازیابی، مهاجمان می‌توانند کنترل کامل کیف پول را در اختیار بگیرند و دارایی‌های آن را به‌طور کامل تخلیه کنند.

طبق داده‌های شرکت Threat Fabric، با وجود جدید بودن این بدافزار، Crocodilus تمامی ویژگی‌های بدافزارهای بانکی مدرن، از جمله حملات پوششی، جمع‌آوری پیشرفته داده‌ها از طریق ثبت تصاویر صفحه (Screen Capture) برای سرقت اطلاعات حساسی مانند رمز عبور و همچنین دسترسی از راه دور برای کنترل دستگاه آلوده را دارد.

این بدافزار معمولاً از طریق دانلود ناخواسته در قالب نرم‌افزارهای دیگر که از سد اندروید ۱۳ و لایه‌های امنیتی عبور کرده‌اند، در دستگاه‌ها نفوذ می‌کند. پس از نصب، Crocodilus درخواست فعال‌سازی سرویس دسترسی (Accessibility Service) را می‌دهد که به هکرها اجازه می‌دهد کنترل دستگاه را به‌دست بگیرند.

کارشناسان Threat Fabric توضیح داده‌اند:

پس از دریافت این مجوز، بدافزار به سرور فرمان و کنترل (C2) متصل شده و دستوراتی را دریافت می‌کند که شامل لیست اپلیکیشن‌های هدف و لایه‌های پوششی مورد استفاده است.

این بدافزار به‌طور مداوم اجرا می‌شود، فعالیت اپلیکیشن‌ها را زیر نظر می‌گیرد و با نمایش پوشش‌های جعلی، اطلاعات ورود کاربران را رهگیری می‌کند. هنگامی که یک اپلیکیشن بانکی یا رمزارزی مورد هدف باز می‌شود، Crocodilus لایه جعلی خود را روی آن نمایش داده و در عین حال، صدای دستگاه را قطع می‌کند تا مهاجمان بدون جلب توجه، کنترل کامل گوشی را به دست بگیرند.

در اظهارات کارشناسان Threat Fabric آمده است:

با سرقت اطلاعات هویتی و داده‌های ورود، مهاجمان می‌توانند از طریق دسترسی از راه دور، کنترل کامل دستگاه قربانی را به دست آورده و تراکنش‌های جعلی را بدون نیاز به شناسایی انجام دهند.

تیم اطلاعات تهدیدات موبایلی Threat Fabric دریافته است که این بدافزار در حال حاضر کاربران ترکیه و اسپانیا را هدف قرار داده، اما احتمالاً دامنه حملات آن در آینده گسترش خواهد یافت.

همچنین، آن‌ها حدس می‌زنند که توسعه‌دهندگان این بدافزار ترک‌زبان باشند، زیرا در کدهای آن یادداشت‌هایی به زبان ترکی دیده شده است. افزون بر این، احتمال دارد یک عامل تهدید با نام Sybra یا یک هکر دیگر که در حال آزمایش نرم‌افزار جدیدی است، پشت این بدافزار باشد.

شرکت Threat Fabric هشدار داده است:

ظهور ویروس بانکی موبایلی Crocodilus نشان‌دهنده تشدید قابل‌توجه سطح پیچیدگی و تهدید بدافزارهای مدرن است. با توجه به قابلیت‌های پیشرفته این بدافزار برای تصاحب دستگاه، کنترل از راه دور و اجرای حملات پوششی سیاه از همان نسخه‌های اولیه، Crocodilus سطحی از بلوغ را نشان می‌دهد که در تهدیدات تازه کشف‌شده، کمتر دیده می‌شود.