قال محللو نسيج التهديد في تقرير في 28 مارس إن برنامج Crocodilus Malware يستخدم مستخدمي تحذير تراكب الشاشة لدعم مفتاح محفظة التشفير من خلال موعد نهائي محدد أو فقدان المخاطر.
“بمجرد أن توفر الضحية كلمة مرور من التطبيق ، ستعرض التراكب رسالة: احتياطي مفتاح المحفظة الخاص بك في الإعدادات في غضون 12 ساعة. وإلا ، سيتم إعادة تعيين التطبيق ، وقد تفقد الوصول إلى محفظتك” ، قال Threat Fabric.
“هذه الخدعة الهندسية الاجتماعية توجه الضحية للانتقال إلى مفتاح محفظة عبارة البذور ، مما يسمح للتماسيح بحصاد النص باستخدام مسجل إمكانية الوصول.”
بمجرد أن يكون لدى ممثلي التهديد عبارة البذور ، يمكنهم الاستيلاء على السيطرة الكاملة على المحفظة و “استنزافها تمامًا”.
يقول Threat Fabric إنه على الرغم من كونه برامج ضارة جديدة ، إلا أن Crocodilus يحتوي على جميع ميزات البرامج الضارة المصرفية الحديثة ، مع هجمات تراكب ، وحصاد البيانات المتقدمة من خلال التقاط الشاشة للمعلومات الحساسة مثل كلمات المرور والوصول عن بُعد للتحكم في الجهاز المصاب.
تحدث العدوى الأولية عن طريق تنزيل البرامج الضارة عن غير قصد في البرامج الأخرى التي تتجاوز Android 13 وحماية الأمان ، وفقًا لـ Threat Fabric.
بمجرد التثبيت ، تطلب Crocodilus خدمة الوصول إلى خدمة الوصول ، والتي تمكن المتسللين من الوصول إلى الجهاز.
“بمجرد منح ، تتصل البرامج الضارة بخادم الأوامر والسيطرة (C2) لتلقي الإرشادات ، بما في ذلك قائمة التطبيقات المستهدفة والتراكبات المراد استخدامها” ، قال التهديد.
بمجرد التثبيت ، تطلب Crocodilus خدمة إمكانية الوصول إلى تمكين خدمة الوصول ، ومنح المتسللين الوصول إلى الجهاز. مصدر: نسيج التهديد
يعمل بشكل مستمر ، ومراقبة تشغيل التطبيق وعرض التراكبات لاعتراض بيانات الاعتماد. عندما يتم فتح تطبيق مصرفي أو عمل مشفر مستهدف ، يتم إطلاق التراكب المزيف على الجزء العلوي وينتقل الصوت بينما يتحكم المتسللون في الجهاز.
“مع PII المسروقة وبيانات الاعتماد ، يمكن لممثلي التهديدات السيطرة الكاملة على جهاز الضحية باستخدام وصول عن بُعد مدمج ، واستكمال المعاملات الاحتيالية دون اكتشاف” ، قال التهديد.
وجد فريق Intelligence التهديد التهديد لـ Threat Fabrix أن البرامج الضارة تستهدف المستخدمين في تركيا وإسبانيا ، لكنه قال إن نطاق الاستخدام من المحتمل أن يتوسع مع مرور الوقت.
متعلق ب: احذر من “Cracked” TradingView-إنها طروادة تروجان تشفير
كما يتكهنون بأن المطورين يمكنهم التحدث بالتركية ، استنادًا إلى الملاحظات الموجودة في الكود ، وأضافوا أن ممثل التهديد المعروف باسم Sybra أو أي اختبار للمتسللين الآخر قد يكون وراء البرامج الضارة.
“يمثل ظهور طروادة المصرفية المتنقلة للتماسيح تصعيدًا كبيرًا في مستوى التطور والتهديد الذي تشكله البرامج الضارة الحديثة.”
“من خلال قدراتها المتقدمة في الجهاز ، وميزات التحكم عن بُعد ، ونشر هجمات التراكب الأسود من تكراراتها المبكرة ، يوضح التماسيح مستوى من النضج غير شائع في التهديدات المكتشفة حديثًا” ، أضافت Threat Fabric.
مجلة: سخيف “الصينية النعناع” احتيال التشفير ، اليابان الغطس في stablecoins: آسيا إكسبريس
