Недавно был обнаружен новый вредоносный софт под названием Crocodilus, который нацеливается на пользователей Android и крадет ключи их криптовалютных кошельков. Этот вредоносный софт представляет собой серьезную угрозу для владельцев цифровых валют, так как использует продуманные методы социальной инженерии для получения доступа к семенам кошелька. Согласно исследованиям компании ThreatFabric, Crocodilus распространяется через специализированный дроппер, который способен обходить системы безопасности Android 13 и более поздних версий. Этот дроппер устанавливает вредоносный софт, не вызывая тревоги системы Play Protect и обходя ограничения Accessibility Services, что делает его особенно опасным. Одной из ключевых особенностей Crocodilus является использование социального инжиниринга.
Вредоносный софт показывает пользователю фальшивое предупреждение, предлагая ему «сохранить семена кошелька в настройках в течение 12 часов», чтобы избежать потери доступа к средствам. Это сообщение направляет жертву к настройкам их кошелька, позволяя Crocodilus захватить введенный текст с помощью Accessibility Logger. Исследователи предупреждают, что с помощью этой информации злоумышленники могут получить полный контроль над кошельком и опустошить его. Первые случаи использования Crocodilus были зафиксированы среди пользователей в Турции и Испании, причем существует предположение, что вредоносный софт имеет турецкое происхождение. Изначально непонятно, как происходит заражение, однако, как правило, жертвы попадают на мошеннические сайты, где их убеждают скачать дропперы под предлогом «самых последних предложений» в социальных сетях или отправлениям через SMS.
Когда вредоносный софт запускается, он получает доступ к сервисам доступности, что позволяет ему раскрывать контент на экране устройства, выполнять действия с жестами навигации и отслеживать запускаемые приложения. Следует отметить, что при открытии целевого банковского или криптовалютного приложения Crocodilus накладывает поддельный интерфейс на реальное приложение, чтобы перехватить учетные данные. Бот-функция вредоносного ПО поддерживает 23 команды, которые могут выполняться на устройстве, включая: - Включение переадресации звонков - Запуск конкретного приложения - Отправка push-уведомления - Отправка SMS всем контактам или на указанный номер - Получение SMS сообщений - Запрос привилегий администратора устройства - Включение/выключение черного экрана - Включение/выключение звука - Блокировка экрана - Установка себя по умолчанию в качестве менеджера SMS. Функциональность удаленного доступа (RAT) делает Crocodilus особенно опасным, поскольку операторы могут управлять экраном, взаимодействовать с пользовательским интерфейсом и выполнять жесты прокрутки. Также предусмотрена команда, позволяющая делать скриншоты приложения Google Authenticator и захватывать одноразовые коды, используемые для двухфакторной аутентификации.
В ходе выполнения действий злоумышленники могут активировать черный экран и отключить звук устройства, чтобы скрыть свои действия от жертвы и создать впечатление, что устройство заблокировано. Хотя на данный момент Crocodilus ориентирован преимущественно на пользователей из Испании и Турции, эксперты предупреждают, что его операции могут расшириться, включая больше приложений в свой список целей. Пользователям Android настоятельно рекомендуется избегать установки APK из источников, отличных от Google Play, и всегда активировать Play Protect на своих устройствах. Кроме того, важно помнить, что регулярные обновления системы безопасности и бдительность в отношении мошеннических предложений могут существенно снизить риск заражения вредоносным ПО. В заключение, с появлением таких угроз, как Crocodilus, важно оставаться информированным о современных методах кибербезопасности и защищать свои цифровые активы, внимательно следя за тем, какие приложения вы устанавливаете и какую информацию разглашаете.
Чтобы минимизировать риски, регулярно проверяйте свои устройства на наличие угроз, активируйте двухфакторную аутентификацию и используйте надежные пароли. В условиях быстрого роста криптовалютного рынка, защита своих активов должна быть приоритетом номер один для каждого пользователя.
