Siber güvenlik firması Threat Fabric tarafından yapılan son bir rapor, Android kullanıcılarının hassas kripto para tohum ifadelerini elde etmek için sahte kaplamalar kullanan, "Crocodilus" olarak bilinen yeni bir mobil kötü amaçlı yazılım türü ortaya çıkardı. Bu kötü amaçlı yazılım, bir kullanıcının cihazını ele geçirip kripto cüzdanlarını tamamen boşaltabilir.
Threat Fabric analistleri, Crocodilus'un kullanıcıları belirtilen bir son tarih ile kripto cüzdan anahtarlarını yedeklemeleri konusunda uyaran bir ekran kaplaması aracılığıyla nasıl aldattığını Mart 28 tarihli raporlarında ayrıntılı olarak belirttiler. Kullanıcı şifresini sağlarsa, kaplama şu şekilde akis bir uyarı gösterir: "Cüzdan anahtarınızı ayarlar içinde 12 saat içinde yedekleyin.
Aksi takdirde, uygulama sıfırlanacak ve cüzdanınıza erişimi kaybedebilirsiniz." Bu sosyal mühendislik taktiği, kullanıcıları tohum ifadesi cüzdan anahtarına yönlendirerek kötü amaçlı yazılımın erişilebilirlik kaydedicisi yoluyla hayati bilgiyi yakalamasına olanak tanır.
Tohum ifadesi elde edildikten sonra, saldırganlar cüzdanın tam kontrolünü ele geçirebilir. Yeni keşfedilmesine rağmen, Crocodilus, modern bankacılık kötü amaçlı yazılımlarına özgü olan gelişmiş özellikleri, örneğin kaplama saldırıları, ekran görüntüleri yoluyla karmaşık veri toplama ve uzaktan cihaz kontrolü, sergiliyor.
Threat Fabric, ilk enfeksiyonun genellikle kullanıcıların başka bir yazılımla paketlenmiş olarak istemeden kötü amaçlı yazılımı indirmesiyle meydana geldiğini, bunun da Android 13 güvenlik korumalarını etkili bir şekilde atlattığını belirtiyor.
Kurulduktan sonra, Crocodilus, hackerların erişimini kolaylaştıran erişilebilirlik hizmetlerini etkinleştirmek için kullanıcıları yönlendirir. Erişim sağlandıktan sonra, kötü amaçlı yazılım bir komuta ve kontrol sunucusuna talimatlar almak için bağlantı kurar, hedef uygulamaların ve ilgili kaplamalarının bir listesini içerir.
Crocodilus sürekli çalışarak uygulama etkinliğini izler ve kullanıcı kimlik bilgilerini ele geçirmek için kaplamalar dağıtır. Hedeflenen bir bankacılık veya kripto uygulaması açıldığında, sahte kaplama meşru etkinliği gizler, bilgisayar korsanlarının kontrolü ele almasını ve işlemleri sırasında sesi kapatmasını sağlar.
Çalınan kişisel bilgiler ve kimlik bilgileri ile saldırganlar, uzaktan fark edilmeden sahte işlemler gerçekleştirebilir.
Threat Fabric'ın Mobil Tehdit İstihbarat ekibi, yazılımın şu anda Türkiye ve İspanya'daki kullanıcıları hedeflediğini ve gelecekte daha geniş bir yayılım beklendiğini belirtti. Soruşturma, yazılım geliştiricilerin Türkçe konuşabileceğine, kod açıklamalarına göre ve Sybra adıyla tanınan bir tehdit aktörü veya yeni yazılımlarla deney yapan başka bir hacker olabileceğine işaret ediyor.
Crocodilus mobil bankacılık Truva Atı'nın ortaya çıkışı, çağdaş kötü amaçlı yazılımların karmaşıklık ve risk seviyesindeki önemli bir sıçramayı gözler önüne seriyor. Cihaz ele geçirme, uzaktan kontrol ve siyah kaplama saldırılarının uygulanabilirliği, yeni keşfedilen tehditlerde nadiren görülen bir olgunluk düzeyine işaret ediyor, şeklinde sonuçlandırıyor Threat Fabric.