Bankový trójsky kôň Crocodilus je späť a útočí na naše bankové aplikácie a karty. Takto sa ti môže dostať do telefónu!
Bezpečnostní analytici pozorujú návrat malvéru Crocodilus, ktorý napáda bankové aplikácie a po novom aj kryptopeňaženky.
Bezpečnostní analytici z Threatfabric približujú novú malvérovú kampaň Crocodilus. Ide o bankového trójskeho koňa, ktorý sa špecializuje na Android ekosystém a dokáže kompletne prevziať kontrolu nad infikovaným zariadením.
Malvér Crocodilus sa objavil aj v minulosti, no s ohľadom na nové skutočnosti bezpečnostní analytici konštatujú, že v týchto prípadoch išlo o testovacie vzorky, ktoré boli len sporadicky prepletené drobnými živými kampaňami. Experti monitorujú online priestor a v posledných dňoch pozorovali, že sa aktivita bankového trojského koňa Crocodilus dramaticky zvyšuje a objavujú sa aj nové verzie.
“Prvotné vzorky malvéru Crocodilus nám ukázali, že tento bankový malvér operoval v Európe, hoci útoky sa objavili striedavo aj v Turecku. Nedávno aktivita malvéru Crocodilus stúpla a všimli sme si, že tentokrát hackeri viac cielia na Európske krajiny,” hovoria bezpečnostní analytici.
Jedna z najvýraznejších hackerských kampaní prebehla v susednom Poľsku. Kampaň ale prebehla aj v okolitých krajinách, napr. v Česku a v obmedzenej miere aj u nás môžeš natrafiť na tento podvod. Hackeri cez malvertising, v tomto prípade falošné reklamy na Facebooku, šírili reklamy na podvodné bankové aplikácie alebo e-shopingové platformy.
Reklamy nevydržia dlho, no stihnú infikovať tisíce užívateľov
Analýza reklamných údajov odhalila, že tieto falošné reklamy boli online len jednu až dve hodiny. Aj napriek takejto krátkej dobe reklamy stihli vidieť tisíce užívateľov. Reklamné dáta ukázali aj to, že väčšina užívateľov mala nad 35 rokov. Bezpečnostní analytici z toho vyvodili, že hackeri zámerne cielili na užívateľov, ktorí boli viac zabezpečení.
Keď užívateľ interaguje s podvodnou reklamou, odkaz ho presmeruje na falošnú stránku, odkiaľ sa stiahne malvér Crocodilus. Malvér dokáže obísť aj bezpečnostné obmedzenia, ktoré majú zavedené smartfóny s operačným systémom Android 13 a vyšším.
Neprehliadni
Ako sme už spomenuli, kampaň Crocodilus útočí na užívateľov po celej Európskej únii. Bezpečnostní analytici pritom predpokladajú, že pri všetkých útokoch sa hackeri spoliehajú na falošné reklamy, ako primárny spôsob distribúcie malvéru. Keď sa Crocodilus dostane do zariadenia užívateľa, potom už útočí pomocou starého a overeného overlay útoku. To znamená, že prekrýva obrazovku cielenej aplikácie svojou vlastnou falošnou obrazovkou, ktorá je ale na nerozoznanie od originálu.
Bezpečnostní analytici varujú, že v ohrození nie sú len veľké banky v krajine, kde malvér útočí. Okrem nich hackeri útočia aj na finančné a krypto platfomy. Okrem šírenia malvéru cez malvertising bezpečnostní analytici zistili, že sa vo výnimočných prípadoch môže šíriť ako falošná aktualizácia prehliadača.
Crocodilus má nové funkcie
Ako sme už naznačili vyššie, hlavnou funkciou bankového trójskeho koňa je overlay útok na bankové a finančné aplikácie. Nové verzie malvéru však majú ďalšie, rovnako nebezpečné funkcie. Jednou z nich je možnosť modifikovať zoznam uložených kontaktov infikovaného zariadenia.
“Veríme, že tento krok slúži na to, aby hackeri pridali do zoznamu uložených kontaktov nové číslo s menom “Technická podpora banky” alebo niečo podobné. To dovoľuje hackerovi zavolať obeti a pôsobiť pritom legitímne. Uloženie kontaktu by mohlo zároveň pomôcť obísť bezpečnostné mechanizmy na varovanie pred neznámymi a potenciálne škodlivými číslami,” píšu bezpečnostní analytici.
Rovnako ako predchádzajúce verzie, aj táto verzia malvéru Crocodilus venuje veľa pozornosti kryptomenovým peňaženkám. Analyzovaná vzorka obsahovala dodatočný parser, ktorý dovoľoval hackerom získať seed frázy a súkromné kľúče špecifických peňaženiek.
Bezpečnostní analytici už v minulosti pozorovali, že sa hackeri za malvérom Crocodilus začali viac obzerať po kryptopeňaženkách. Najnovšie vzorky malvéru potvrdzujú nielen záujem hackerov aj o túto sféru, no zároveň aj to, že vložili nemalé úsilie do vývoja malvéru, ktorý by sa dokázal úspešne nabúrať aj do kryptopeňaženiek.
“Najnovšia kampaň malvéru Crocodilus nám ukazuje, že oblasť bankových trójskych koňov sa uberá mimoriadne nebezpečným smerom,” hovoria bezpečnostní analytici.
Na záver dodávajú, že hackeri ešte s malvérom Crocodilus neskončili. V blízkej dobe si teda dávaj obzvlášť veľký pozor na falošné reklamy, primárne na Facebooku.
Komentáre