Najnoviji virus koji napada android uređaje: Upozorenje daje 12 sati da se izbavite
Autor: Glas javnosti
Sumnja se da je malver turskog porekla
Istraživači kompanije ThreatFabric otkrili su novi malver za Android pod nazivom Crocodilus, koji može da preuzme kontrolu nad inficiranim uređajem.
Istraživači kažu da se malver distribuira preko droppera koji zaobilazi bezbednosne zaštite Androida 13 i novijih verzija. Dropper, inače zlonamerni softver dizajniran da neprimetno preuzme i instalira drugi malver na uređaju, instalira malver bez pokretanja Play Protecta i zaobilazi ograničenja Accessibility Service.
Ono što Crocodilus čini posebnim jeste to što koristi socijalni inženjering, manipulativnu tehniku kojom napadači obmanjuju ljude da otkriju poverljive informacije ili izvrše određene radnje, kako bi žrtve dale pristup svom kripto-novčaniku. To se postiže upozorenjem koje prekriva ekran i navodi korisnike da "naprave rezervnu kopiju ključa novčanika u podešavanjima u roku od 12 sati" ili rizikuju da izgube pristup svom novčaniku.
"Ovaj trik socijalnog inženjeringa navodi žrtvu da otkrije svoje seed fraze (ključ novčanika), omogućavajući Crocodilusu da ih ukrade koristeći svoj Accessibility Logger", objašnjava ThreatFabric.
"Sa ovim informacijama, napadači mogu da preuzmu potpunu kontrolu nad novčanikom i potpuno ga isprazne", dodaje se u saopštenju.
U svojim prvim operacijama Crocodilus je ciljao korisnike u Turskoj i Španiji, kao i bankovne račune iz tih zemalja. Po svemu sudeći, malver je turskog porekla.
Nejasno je kako dolazi do infekcije, ali žrtve obično bivaju prevarene da preuzmu dropper sa zlonamernih sajtova, putem lažnih reklama na društvenim mrežama, SMS-a ili nezvaničnih prodavnica aplikacija.
Kada se pokrene, Crocodilus dobija pristup Accessibility Service, koja je namenjena osobama sa invaliditetom, kako bi pristupio sadržaju ekrana i nadgledao pokretanje aplikacija.
Kada žrtva otvori aplikaciju banke ili kripto-novčanika, Crocodilus učitava lažni ekran preko prave aplikacije kako bi presreo podatke za prijavljivanje na nalog žrtve.
Šta sve može?
Malver podržava 23 komande koje može da izvrši na uređaju, uključujući prosleđivanje poziva, pokretanje određene aplikacije, objavljivanje push obaveštenja, slanje SMS-ova svim kontaktima ili određenom broju, primanje SMS poruka, zahtevanje administratorskih privilegija uređaja, uključivanje i isključivanje zvuka, zaključavanje ekrana, kao i preuzimanje uloge podrazumevane SMS aplikacije.
Malver takođe nudi funkciju trojanca za daljinski pristup (RAT), koja omogućava operaterima da dodiruju ekran, kreću se kroz korisnički interfejs, izvode pokrete prevlačenja i još mnogo toga.
Postoji i posebna RAT komanda za snimanje ekrana aplikacije Google Authenticator i beleženje jednokratnih kodova koji se koriste za zaštitu naloga verifikacijom u dva koraka.
Dok obavljaju ove radnje, operateri mogu da aktiviraju preklapanje crnog ekrana i isključe zvuk uređaja kako bi sakrili aktivnosti od žrtve, ostavljajući utisak da je uređaj zaključan.
Malver bi uskoro mogao da se proširi širom sveta, a oni koji stoje iza njega mogli bi dodati još aplikacija na listu ciljanih.
Korisnicima Androida se savetuje da izbegavaju preuzimanje APK-ova izvan Google Play prodavnice i da Play Protect uvek bude aktiviran na njihovim uređajima.
Glas javnosti/T02S
BONUS VIDEO
SKINI APLIKACIJU
