بدافزار اندروید ‘Crocodilus’ و تهدیدات سرقت ارزهای دیجیتال
افزایش تهدیدات سایبری: بدافزار جدید «کروکودیلوس» گوشیهای اندروید را هدف قرار میدهد
شرکت امنیت سایبری Threat Fabric به تازگی از شناسایی یک خانواده جدید از بدافزارهای موبایل خبر داده است که تحت عنوان «کروکودیلوس» شناخته میشود. این بدافزار قادر است با استفاده از یک لایه پوششی جعلی، کاربران اندروید را فریب دهد تا عبارات کلیدی کیف پولهای رمزارز خود را ارائه دهند و در نتیجه کنترل کامل دستگاه را به دست بگیرد.
تکنیکهای فریبنده و افزایش خطرات امنیتی
در گزارشی که Threat Fabric در تاریخ ۲۸ مارس منتشر کرد، اعلام شد که بدافزار کروکودیلوس از یک لایه پوششی برای هشدار به کاربران استفاده میکند، به طوری که به آنها میگوید باید کیف پول خود را تا یک مهلت مشخصی پشتیبانگیری کنند، در غیر این صورت ممکن است به آن دسترسی نداشته باشند. این تکنیکهای فریبنده به طور خاص برای سرقت عبارات کلیدی طراحی شدهاند.
عملکرد بدافزار و راههای نفوذ
به گفته Threat Fabric، پس از اینکه قربانی رمز عبور خود را وارد کرد، این لایه پوششی پیامی را نمایش میدهد که به کاربر میگوید: «کیف پول خود را در تنظیمات تا ۱۲ ساعت پشتیبانگیری کنید، وگرنه اپلیکیشن ریست شده و ممکن است دسترسی به کیف پول خود را از دست بدهید.» این روش فریب، قربانی را به سمت کیف پول هدایت میکند و بدافزار کروکودیلوس میتواند متن را با استفاده از لاگر دسترسی خود استخراج کند.
کنترل کامل بر کیف پولهای رمزارز
پس از به دست آوردن عبارت کلیدی، مهاجمان میتوانند به طور کامل کنترل کیف پول را در دست بگیرند و آن را به طور کامل خالی کنند. Threat Fabric تأکید میکند که با وجود اینکه این بدافزار جدید است، اما تمامی ویژگیهای بدافزارهای بانکی مدرن را داراست، از جمله حملات لایه پوششی، جمعآوری دادههای پیشرفته از طریق ضبط صفحه نمایش اطلاعات حساس مانند رمز عبور و دسترسی از راه دور برای کنترل دستگاه آلوده.
روشهای آلودهسازی و افزایش دسترسی
آلودگی اولیه به این بدافزار معمولاً از طریق دانلود ناخواسته آن در نرمافزارهای دیگر انجام میشود که قادر به دور زدن محافظتهای امنیتی اندروید ۱۳ هستند. پس از نصب، کروکودیلوس درخواست فعالسازی خدمات دسترسی را میکند، که به هکرها اجازه میدهد به دستگاه دسترسی پیدا کنند.
نظارت مستمر و سرقت اطلاعات
پس از اعطای دسترسی، بدافزار به سرور فرمان و کنترل (C2) متصل میشود تا دستورالعملها را دریافت کند، از جمله فهرست برنامههای هدف و لایههای پوششی مورد استفاده. این بدافزار به طور مداوم اجرا میشود و برنامههای راهاندازی شده را نظارت میکند و لایههای پوششی را برای دریافت اعتبارنامهها نمایش میدهد. زمانی که یک برنامه بانکی یا رمزارزی هدف باز میشود، لایه پوششی جعلی به طور خودکار بر روی آن نمایش داده میشود و صدا را قطع میکند در حالی که هکرها کنترل دستگاه را به دست میگیرند.
نتیجهگیری و هشدارها
Threat Fabric اعلام کرده است که این بدافزار به ویژه کاربران در ترکیه و اسپانیا را هدف قرار میدهد، اما انتظار میرود که دامنه استفاده آن در آینده گسترش یابد. همچنین تحلیلگران این شرکت بر این باورند که توسعهدهندگان این بدافزار ممکن است به زبان ترکی تسلط داشته باشند و یکی از هکرهای شناختهشده به نام Sybra ممکن است در پشت این تهدید باشد.
ظهور بدافزار کروکودیلوس یک جهش قابل توجه در سطح پیچیدگی و تهدیدات موجود در حوزه امنیت سایبری به حساب میآید. با قابلیتهای پیشرفته کنترل دستگاه و ویژگیهای دسترسی از راه دور، این بدافزار نشاندهنده سطحی از بلوغ است که در تهدیدات تازه کشف شده نادر است.
