Crocodilus: Yeni Bir Mobil Zararlı Yazılım Kripto Cüzdanları Hedefliyor

Siber güvenlik şirketi Threat Fabric, Android kullanıcılarını kripto para cüzdanlarının tohum ifadelerini vermeleri için kandırmak üzere belirli uygulamalar için sahte bir katman başlatabilen yeni bir mobil cihaz zararlı yazılım ailesi bulduğunu açıkladı. Threat Fabric analistleri, 28 Mart tarihli bir raporda, Crocodilus zararlı yazılımının, kullanıcıları belirli bir son tarihe kadar kripto cüzdan anahtarlarını yedeklemeleri veya erişimi kaybetme riski taşımaları konusunda uyaran bir ekran katmanı kullandığını belirtti.

Threat Fabric, 'Kurban uygulamadan bir şifre sağladığında, katman şu mesajı gösterecektir: 12 saat içinde ayarlar içindeki cüzdan anahtarınızı yedekleyin. Aksi takdirde, uygulama sıfırlanacak ve cüzdanınıza erişimi kaybedebilirsiniz.' dedi. Bu sosyal mühendislik hilesi, kurbanı tohum ifadesi cüzdan anahtarına yönlendirerek, Crocodilus'un erişilebilirlik günlüğünü kullanarak metni toplamasına olanak tanır.

Tehdit aktörleri tohum ifadesine sahip olduklarında, cüzdanın tam kontrolünü ele geçirebilir ve 'tamamen boşaltabilirler'. Threat Fabric, yeni bir zararlı yazılım olmasına rağmen, Crocodilus'un, katman saldırıları, şifreler gibi hassas bilgilerin ekran yakalama yoluyla gelişmiş veri toplama ve enfekte cihazın kontrolünü ele geçirmek için uzaktan erişim gibi modern bankacılık zararlı yazılımlarının tüm özelliklerine sahip olduğunu belirtiyor.

İlk enfeksiyon, Android 13 ve güvenlik korumalarını atlayan diğer yazılımlarda zararlı yazılımın yanlışlıkla indirilmesiyle gerçekleşir. Kurulduktan sonra, Crocodilus, bilgisayar korsanlarının cihaza erişmesini sağlayan erişilebilirlik hizmetinin etkinleştirilmesini talep eder. Threat Fabric, 'Verildikten sonra, zararlı yazılım, hedef uygulamaların listesi ve kullanılacak katmanlar dahil olmak üzere talimatlar almak için komuta ve kontrol (C2) sunucusuna bağlanır.' dedi.

Kurulduktan sonra, Crocodilus, bilgisayar korsanlarına cihaza erişim izni veren erişilebilirlik hizmetinin etkinleştirilmesini talep eder. Sürekli olarak çalışır, uygulama başlatmalarını izler ve kimlik bilgilerini yakalamak için katmanlar görüntüler. Hedeflenen bir bankacılık veya kripto para uygulaması açıldığında, sahte katman üst üste gelir ve bilgisayar korsanları cihazın kontrolünü ele geçirirken sesi kapatır. Threat Fabric, 'Çalınan PII ve kimlik bilgileriyle, tehdit aktörleri, yerleşik uzaktan erişimi kullanarak bir kurbanın cihazının tam kontrolünü ele geçirebilir, dolandırıcılık işlemlerini tespit edilmeden tamamlayabilir.' dedi.

Threat Fabric'in Mobil Tehdit İstihbarat ekibi, zararlı yazılımın Türkiye ve İspanya'daki kullanıcıları hedeflediğini tespit etti, ancak kullanım alanının zamanla genişlemesi muhtemeldir. Ayrıca, koddaki notlara dayanarak geliştiricilerin Türkçe konuşabileceğini tahmin ediyorlar ve Sybra olarak bilinen bir tehdit aktörünün veya yeni yazılımları test eden başka bir bilgisayar korsanının zararlı yazılımın arkasında olabileceğini eklediler.

Sonuç olarak, Crocodilus mobil bankacılık Truva atının ortaya çıkışı, modern zararlı yazılımların karmaşıklığında ve tehdit düzeyinde önemli bir artışa işaret ediyor. Gelişmiş Cihaz Ele Geçirme yetenekleri, uzaktan kontrol özellikleri ve en erken iterasyonlarından itibaren siyah katman saldırılarının dağıtımı ile Crocodilus, yeni keşfedilen tehditlerde nadir görülen bir olgunluk düzeyi sergiliyor.