هشدار: بدافزار جدید Crocodilus در کمین کیف پول‌های کریپتو اندروید

بدافزار Crocodilus در حال تخلیه کیف پول‌های کریپتو در اندروید

کاربران اندروید مراقب باشید: یک بدافزار تازه کشف شده در حال هدف قرار دادن کیف پول‌های کریپتو در تلفن‌های هوشمند است. این تروجان بانکی موبایل که توسط شرکت پیشگیری از تقلب ThreatFabric شناسایی شده است، از ابزارهایی مانند کنترل از راه دور، پوشش صفحه سیاه و جمع‌آوری پیشرفته داده‌ها از طریق ثبت دسترسی استفاده می‌کند تا دارندگان کریپتو را فریب داده و عبارت بازیابی کیف پول آنها را به دست آورد.

این بدافزار «خود را به عنوان برنامه‌های مرتبط با کریپتو جا می‌زند و از تکنیک‌های خاص مهندسی اجتماعی استفاده می‌کند تا قربانیان را وادار به افشای اسرار ذخیره شده در برنامه‌های کیف پول ارز دیجیتال کند»، الکساندر ارمین، رئیس اطلاعات تهدیدات موبایل در ThreatFabric، به Decrypt گفت. او افزود که این بدافزار «علاقه خاصی به هدف قرار دادن کاربران کیف پول‌های ارز دیجیتال» دارد.

فریب کاربران برای افشای عبارت بازیابی

این تهدید به طور حیاتی کاربران اندروید را فریب می‌دهد تا عبارت بازیابی کیف پول ارز دیجیتال خود را ارائه دهند. این کار را با ارسال هشداری انجام می‌دهد که از کاربران می‌خواهد کلید خود را پشتیبان‌گیری کنند تا از دسترسی به کیف پول خود محروم نشوند.

ThreatFabric اعلام کرد که Crocodilus از طریق یک برنامه نصب‌کننده اختصاصی توزیع می‌شود که از حفاظت‌های امنیتی در اندروید ۱۳ و بالاتر عبور می‌کند. پس از نصب این برنامه، بدون فعال کردن Play Protect، مجوزهای سرویس دسترسی را درخواست می‌کند. این اجازه به آن امکان می‌دهد تا محدودیت‌های سرویس دسترسی را دور بزند و یک پوشش صفحه برای به دست آوردن گذرواژه‌ها ایجاد کند.

این بدافزار به کاربران یک پیام هشدار جعلی نشان می‌دهد که می‌گوید: «کلید کیف پول خود را در تنظیمات ظرف ۱۲ ساعت پشتیبان‌گیری کنید. در غیر این صورت، برنامه بازنشانی می‌شود و ممکن است دسترسی به کیف پول خود را از دست بدهید.»

دسترسی از راه دور و کنترل مخفیانه

Crocodilus همچنین به عنوان یک تروجان دسترسی از راه دور (RAT) عمل می‌کند، به این معنی که اپراتورها می‌توانند رابط کاربری را پیمایش کنند، با استفاده از کنترل حرکتی جابه‌جا شوند و حتی از صفحه‌نمایش عکس بگیرند. طبق گفته ThreatFabric، این امکان به اپراتور بدافزار اجازه می‌دهد تا از Google Authenticator برای دسترسی به کدهای احراز هویت دو مرحله‌ای استفاده کند.

این بدافزار همه این کارها را به صورت مخفیانه با استفاده از یک پوشش صفحه سیاه انجام می‌دهد، بنابراین صاحب تلفن نمی‌تواند ببیند که چه اقداماتی به صورت از راه دور انجام می‌شود.

تاثیر و گسترش

در زمان انتشار این خبر، به نظر می‌رسد که تنها کاربران در اسپانیا و ترکیه تحت تأثیر Crocodilus قرار گرفته‌اند. این بدافزار برای اولین بار در حال هدف قرار دادن افراد در ترکیه و اسپانیا کشف شد و از زبان اشکال‌زدایی استفاده می‌کند که به نظر می‌رسد به زبان ترکی است.

طبق گفته ThreatFabric، نحوه دانلود اولیه این برنامه نصب‌کننده کمتر مشخص است، بنابراین ممکن است فراتر از این مکان‌ها گسترش یابد. کاربران اندروید می‌توانند با استفاده از فروشگاه Google Play برای دانلود برنامه‌ها و عدم دانلود فایل‌های APK از سایت‌های دیگر، خطر را کاهش دهند.

ارمین به Decrypt گفت که با وجود اینکه Crocodilus «تازه‌وارد در چشم‌انداز تهدیدات موبایل» است، «مجموعه قابلیت‌های غنی» آن می‌تواند آن را به رقیبی برای بدافزارهای به عنوان سرویس در بازارهای زیرزمینی تبدیل کند.