POZOR! Tento bankový trojan ti pridá do mobilu falošný kontakt na bankára. Útočí už aj u nás!
Nebezpečný bankový vírus sa vrátil vo vylepšenej verzii. Dokáže do tvojho telefónu potajomky pridať falošný kontakt na banku a vybieliť tvoj účet.
Naše telefóny už dávno nie sú len zariadeniami, cez ktoré posielame správy či telefonujeme. Pristupujeme cez ne k množstvu služieb, vrátane tých, kde pracujeme s citlivými údajmi. Ide napríklad o sociálne siete, e-mailových klientov či bankové a kryptomenové aplikácie.
Najnovšie experti z ThreatFabric upozorňujú na nebezpečný bankový trojan, ktorý sa opäť objavil v kybernetickom priestore. Ide o trojského koňa s názvom Crocodilus. Tento softvér sa vrátil v omnoho prepracovanejšej a agresívnejšej podobe a bohužiaľ, cieli aj na používateľov v našom širšom okolí, vrátane krajín Európskej únie a teda aj nás.
Malvér sa často šíri cez podvodné reklamy, ktoré sa zobrazujú napríklad na Facebooku. Tieto reklamy predstierajú, že ponúkajú výhodné funkcie či služby, ako napríklad vernostné body, aktualizácie aplikácií alebo dokonca softvér na ťaženie kryptomien. Po kliknutí na reklamu je používateľ presmerovaný na škodlivú stránku, kde si stiahne tzv. dropper, čo je prvý stupeň infekcie, ktorý dokáže obísť aj bezpečnostné obmedzenia systému Android 13 a novších verzií, ktoré majú pokročilé mechanizmy ochrany používateľov. Ide o súbor alebo aplikáciu, cez ktorú sa následne do zariadenia stiahne samotný vírus Crocodilus.
Bankový trojan Crocodilus dostal nové funkcie
Po nainštalovaní využíva Crocodilus techniku tzv. overlay útoku, čo znamená, že zobrazí falošnú prihlasovaciu obrazovku nad regulárnou aplikáciou, napríklad nad bankovou. Používateľ tak nevedomky zadá svoje údaje priamo útočníkovi. V mnohých prípadoch sa následne zobrazí chybové hlásenie a otvorí sa reálna aplikácia, čím používateľ nadobudne dojem, že sa nič nestalo. K skutočnosti, že odovzdal prístupové údaje hackerovi, sa dostane až v momente, keď dôjde k vybieleniu účtu.
Tento malvér však analytikov zaujal aj novou a mimoriadne nebezpečnou funkciou. Crocodilus totiž dokáže na pokyn útočníka pridať do tvojho zoznamu kontaktov falošné meno, napríklad „Bank Support“ alebo „Osobný bankár“. Ak ti následne útočník zavolá, zobrazí sa ti dôveryhodné meno, ktoré si spájaš so skutočnou inštitúciou. Táto technika má potenciál oklamať aj technicky zdatných používateľov, pretože navodzuje dojem legitimity a výrazne zvyšuje šancu, že s tebou útočník dokáže manipulovať. V kombinácii s falošným prihlasovacím oknom ide doslova o dokonalú zbraň útočníkov.
Neprehliadni
Hackeri cielia aj na ďalšie online služby
Okrem bankových aplikácií sa Crocodilus zameriava aj na kryptomenové peňaženky. Najnovšie verzie obsahujú funkciu na automatický zber tzv. seed fráz, teda obnovovacích kódov potrebných na prístup ku kryptomenám. Pomocou systémovej funkcie Accessibility dokáže sledovať obsah obrazovky a pomocou regulárnych výrazov vyhľadávať a extrahovať práve tieto citlivé údaje. Tie následne odošle útočníkom už vo spracovanej forme, pripravené na okamžité zneužitie.
Crocodilus sa zároveň rýchlo rozširuje naprieč kontinentmi. Z pôvodných kampaní v Turecku sa rozšíril do Poľska, Španielska, Brazílie, Argentíny, USA, Indie aj Indonézie. Dnes je tento škodlivý vírus globálnym problémom a obete máme aj v našom širšom okolí. Reklamy sú pritom cielene zobrazované najmä používateľom nad 35 rokov, teda skupinu ľudí, ktorá býva finančne aktívna a menej technicky podozrievavá.
Na technickej úrovni autori neustále pracujú na jeho zdokonaľovaní. Používajú XOR šifrovanie, zabalenie kódu (code packing) a zložité previazané funkcie, ktoré bránia antivírusom a analytikom v rozpoznaní alebo spätnom inžinierstve škodlivého kódu.
Crocodilus tak predstavuje kombináciu technickej sofistikovanosti a sociálneho inžinierstva. Využíva dôveru používateľa, manipuluje vizuálnym vzhľadom aplikácií, vytvára falošné kontakty a cieli na to najcennejšie – tvoje peniaze, kryptomeny a osobné údaje.
Komentáre