Crocodilus Android Trojanı, Kripto Kullanıcılarını ve Banka Müşterilerini Hedef Alan Yeni Saldırılar Başlattı

Android bankacılık trojanı Crocodilus, Avrupa ve Güney Amerika'daki kripto kullanıcılarını ve banka müşterilerini hedef alan yeni kampanyalar başlattı. Mart 2024'te ilk tespit edildiğinde, kötü amaçlı yazılımın örnekleri çoğunlukla Türkiye ile sınırlıydı. Burada çevrimiçi kumarhane uygulamaları veya banka uygulamalarını taklit ederek giriş bilgilerini çalıyordu. Ancak, ThreatFabric'in Mobil Tehdit İstihbaratı (MTI) ekibinin yeni bulgularına göre, son kampanyalar trojanın erişimini genişlettiğini ve Polonya, İspanya, Arjantin, Brezilya, Endonezya, Hindistan ve ABD'deki hedeflere ulaştığını gösteriyor.

Polonyalı kullanıcıları hedef alan bir kampanya, sahte sadakat uygulamalarını tanıtmak için Facebook Reklamlarını kullandı. Reklama tıklamak, kullanıcıları kötü amaçlı sitelere yönlendirdi ve Android 13+ kısıtlamalarını aşan bir Crocodilus yükleyicisi sağladı. Facebook şeffaflık verileri, bu reklamların sadece bir veya iki saat içinde binlerce kullanıcıya ulaştığını ve 35 yaş üstü hedef kitleye odaklandığını ortaya koydu.

Crocodilus, bankacılık ve kripto uygulamalarını hedef alıyor. Kurulduktan sonra, meşru bankacılık ve kripto uygulamalarının üzerine sahte giriş sayfaları yerleştiriyor. İspanya'da bir tarayıcı güncellemesi gibi davranarak neredeyse tüm büyük bankaları hedef alıyor. Coğrafi genişlemenin ötesinde, Crocodilus yeni yetenekler ekledi. Önemli bir yükseltme, etkilenen cihazların kişi listelerini değiştirme yeteneği; saldırganların "Banka Desteği" olarak etiketlenmiş telefon numaraları eklemesine olanak tanır. Ayrıca, kripto para cüzdanlarını hedefleyen otomatik bir tohum ifadesi toplayıcı da bulunuyor. Crocodilus kötü amaçlı yazılımı artık tohum ifadelerini ve özel anahtarları daha büyük bir hassasiyetle çıkarabiliyor ve saldırganlara hızlı hesap ele geçirmeleri için önceden işlenmiş veriler sağlıyor. Bu arada, geliştiriciler Crocodilus'un savunmalarını daha derin şifre çözme yoluyla güçlendirdi. En son sürüm, tersine mühendisliğe direnmek için paketlenmiş kod, ek XOR şifrelemesi ve kasıtlı olarak karmaşık mantık içeriyor.

MTI analistleri ayrıca, Crocodilus'un kriptoya artan odaklanması arasında kripto para madenciliği uygulamalarını ve Avrupa dijital bankalarını hedefleyen daha küçük kampanyalar gözlemledi. Rapor, "Öncülü gibi, Crocodilus'un yeni varyantı da kripto para cüzdanı uygulamalarına büyük önem veriyor" dedi. "Bu varyant, belirli cüzdanların tohum ifadelerini ve özel anahtarlarını çıkarmaya yardımcı olan ek bir ayrıştırıcı ile donatıldı."

Sonuç olarak, Crocodilus'un hedef kitlesini ve yeteneklerini genişletmesi, mobil cihaz kullanıcıları için artan bir güvenlik riski oluşturuyor. Kullanıcıların, uygulamaları indirirken ve kişisel bilgilerini girerken daha dikkatli olmaları ve şüpheli bağlantılardan ve reklamlardan kaçınmaları gerekiyor.