حملات جهانی بدافزار Crocodilus؛ سرقت رمزارز و اطلاعات بانکی

تتر

بیت کوین

مفاهیم کلیدی

• گسترش جهانی Crocodilus در اروپا، آمریکای جنوبی و آسیا

• افزودن جمع‌آوری خودکار seed phrase و نمایش تماس «پشتیبانی بانک»

• تقویت ابهام‌سازی کد با رمزنگاری XOR و منطق پیچیده

بدافزار Crocodilus با قابلیت‌های جدید رمزارز و کلاه‌برداری بانکی در جهان

تروجان بانکی اندرویدی Crocodilus کمپین‌های جدیدی را علیه کاربران رمزارز و مشتریان بانکی در اروپا و آمریکای جنوبی راه‌اندازی کرده است. اولین‌بار در مارس ۲۰۲۵ شناسایی شد، نمونه‌های اولیه Crocodilus عمدتاً در ترکیه محدود بودند؛ جایی که بدافزار با وانمود کردن به برنامه‌های کازینو آنلاین یا جعل اپلیکیشن‌های بانکی، اقدام به سرقت اطلاعات ورود کاربران می‌کرد. با این حال، کمپین‌های اخیر نشان می‌دهند این تروجان دامنه خود را گسترش داده و اکنون اهدافی در لهستان، اسپانیا، آرژانتین، برزیل، اندونزی، هند و ایالات متحده را مورد حمله قرار می‌دهد، طبق یافته‌های جدید تیم اطلاعات تهدید موبایلی (MTI) شرکت ThreatFabric.

پس از نصب، Crocodilus صفحات ورود جعلی را روی اپلیکیشن‌های بانکی و رمزارز اصلی نمایش می‌دهد. در اسپانیا این بدافزار خود را به‌عنوان یک بروزر آپدیت جا می‌زند و تقریباً همه بانک‌های بزرگ را هدف می‌گیرد. فراتر از گسترش جغرافیایی، Crocodilus قابلیت‌های جدیدی اضافه کرده است. یکی از ارتقاها امکان تغییر فهرست مخاطبان دستگاه‌های آلوده است تا مهاجمان شماره‌هایی با علامت «پشتیبانی بانک» وارد کنند و از آن برای حملات مهندسی اجتماعی بهره ببرند. قابلیت کلیدی دیگر، جمع‌آوری خودکار عبارات بازیابی (seed phrase) برای کیف‌پول‌های رمزارزی است. حال این بدافزار می‌تواند عبارات بازیابی و کلیدهای خصوصی را با دقت بیشتری استخراج کند و داده‌های از پیش پردازش‌شده را برای تصاحب سریع حساب‌ها در اختیار مهاجمان قرار دهد. در همین حال، توسعه‌دهندگان Crocodilus با استفاده از بسته‌بندی کد، رمزنگاری اضافی XOR و منطق پیچیده‌سازی‌شده، مقاومت آن را در برابر مهندسی معکوس تقویت کرده‌اند.

تحلیل‌گران MTI همچنین شاهد کمپین‌های کوچکتری بودند که اپلیکیشن‌های استخراج رمزارز و بانک‌های دیجیتال اروپایی را هدف قرار داده بودند. «دقیقا مانند نسخه قبلی، این واریانت جدید Crocodilus توجه ویژه‌ای به اپلیکیشن‌های کیف‌پول رمزارزی دارد»، گزارش می‌گوید. «این واریانت به یک پارسر اضافی مجهز شده تا عبارات بازیابی و کلیدهای خصوصی کیف‌پول‌های خاص را استخراج کند.»

در گزارشی که در ۲۲ آوریل منتشر شد، شرکت AMLBot در زمینه جرم‌شناسی رمزارز و انطباق فاش کرد که «درینر»های رمزارزی، بدافزارهایی برای سرقت رمزارز، به‌دلیل تحول اکوسیستم به مدل نرم‌افزار به‌عنوان سرویس، دسترسی‌پذیرتر شده‌اند. بر اساس این گزارش، پخش‌کنندگان بدافزار می‌توانند یک درینر را با هزینه ۱۰۰ تا ۳۰۰ USDT اجاره کنند. همچنین در ۱۹ می مشخص شد که شرکت چینی تولیدکننده پرینتر Procolored بدافزار سرقت بیت کوین را همراه با درایورهای رسمی خود منتشر کرده است. این شرکت گفته می‌شود با استفاده از درایورهای USB بدافزار را توزیع و نرم‌افزار آلوده را در فضای ابری برای دانلود جهانی قرار داده است.