كشف تقرير حديث من شركة الأمن السيبراني Threat Fabric عن نوع جديد من البرمجيات الخبيثة للهاتف المحمول تُعرف باسم "كروكوديلوس"، تشكل تهديداً كبيراً لمستخدمي الأندرويد عبر استخدامها للوحات زائفة للحصول على عبارات العملات المشفرة الحساسة. يمكن لهذه البرمجية السيطرة على جهاز المستخدم واستنزاف محافظهم المشفرة بالكامل.
أوضح محللو Threat Fabric في تقريرهم بتاريخ 28 مارس أن "كروكوديلوس" يخدع المستخدمين عن طريق تراكب شاشة يدفعهم لنسخ مفاتيح محفظة التشفير احتياطياً في موعد محدد. إذا قدم المستخدم كلمته السرية، يظهر تراكب تحذيري شديد: "انسخ مفتاح محفظتك احتياطياً في الإعدادات خلال 12 ساعة.
وإلا فسيتم إعادة تعيين التطبيق وقد تفقد الوصول إلى محفظتك." هذه الخدعة تحث المستخدمين على الوصول إلى مفتاح عبارة الاسترداد لمحفظتهم، مما يسمح للبرمجية بالحصول على المعلومات الأساسية عبر سجل التسهيلات.
بمجرد الحصول على العبارة الأساسية، يمكن للمهاجمين السيطرة الكاملة على المحفظة. رغم اكتشافها مؤخراً، تعرض "كروكوديلوس" ميزات متقدمة تشبه البرمجيات الخبيثة البنكية الحديثة، مثل هجمات التراكب وجمع البيانات المتقدم عبر لقطات الشاشة والتحكم في الجهاز عن بعد.
تشير Threat Fabric إلى أن الإصابة الأولى عادةً ما تحدث عندما يقوم المستخدمون بتحميل البرمجية الخبيثة مع حزم برامج أخرى، مما يتجاوز حماية الأمان في أندرويد 13.
بمجرد تثبيتها، تطلب "كروكوديلوس" من المستخدمين تمكين خدمات التسهيل، مما يسهل وصول القراصنة. بعد الحصول على الوصول، تُنشئ البرمجية اتصالاً بخادم التحكم لتلقي الأوامر، بما في ذلك قائمة بالتطبيقات المستهدفة وتراكباتها الخاصة.
تعمل "كروكوديلوس" باستمرار، تراقب نشاط التطبيقات وتفعل التراكبات لاعتراض بيانات الاعتماد الخاصة بالمستخدم. عند فتح تطبيقات البنك أو العملات المشفرة المستهدفة، يُخيّب التراكب الزائف النشاط المشروع، مما يسمح للقراصنة بالسيطرة وكتم الصوت خلال عمليتهم.
باستخدام المعلومات الشخصية وبيانات الاعتماد المسروقة، يمكن للمهاجمين إجراء معاملات احتيالية من بُعد دون اكتشاف.
حددت فريق تهديد الهواتف المحمولة في Threat Fabric أن البرمجية تستهدف حالياً المستخدمين في تركيا وإسبانيا، مع توقعات بانتشارها على نطاق أوسع في المستقبل. تشير التحقيقات إلى أن المطورين ربما يتحدثون التركية، نظراً لتعليقات الكود، وقد يكونون جهة تهديد معروفة بـSybra أو قرصان آخر يجرب برنامجاً جديداً.
يُشير ظهور برمجية "كروكوديلوس" الجديدة للهجمات البنكية على الهاتف المحمول إلى قفزة كبيرة في مستوى التعقيد والخطورة في البرمجيات الخبيثة المعاصرة. قدراتها على السيطرة على الأجهزة والتحكم عن بعد وتطبيق الهجمات عبر التراكب الأسود تشير إلى مستوى نضج نادراً ما يُرى في التهديدات المكتشفة حديثاً، تختتم Threat Fabric.