Egy újonnan felfedezett, „Crocodilus” névre keresztelt Androidos kártevő komoly veszélyt jelent a kriptotárcát használó felhasználókra. A malware célja, hogy rávegye az áldozatokat a seed phrase – vagyis a kriptotárca helyreállító kulcsának – önkéntes megadására, amivel teljes hozzáférést szerezhetnek a tárcához és az abban tárolt eszközökhöz.
A támadás első lépésében a kiberbűnözők egy úgynevezett dropper alkalmazást juttatnak az áldozat eszközére, amely a háttérben telepíti a valódi fertőzést okozó kártevőt. Amikor az áldozat megnyit egy célzott pénzügyi vagy kriptovaluta-alkalmazást, a Crocodilus egy hamis, az eredeti alkalmazásra rárétegzett felületet jelenít meg. Ez a megtévesztő képernyő arra szolgál, hogy begyűjtse a bejelentkezési adatokat, vagy ami még veszélyesebb, a kriptotárca seed phrase-jét.
A malware szociális manipulációval éri el célját: a hamis felület például olyan figyelmeztetést jelenít meg, miszerint
A Beállítások menüben 12 órán belül készítsen biztonsági másolatot a kulcsról, különben elveszítheti hozzáférését a tárcájához.
Ezzel az áldozatot arra ösztönzi, hogy saját maga nyissa meg és másolja be a seed phrase-t, amit aztán a Crocodilus az Android akadálymentesítési naplóján keresztül naplóz és továbbít.
A Crocodilus egyik első lépése, hogy engedélyt kér az Accessibility Service-hez való hozzáféréshez, amely lehetővé teszi számára az alkalmazások figyelését, képernyőtartalmak olvasását, valamint különféle műveletek végrehajtását.
Összesen 23 parancsot tud végrehajtani, többek között az alábbiakat:
- Hívásátirányítás beállítása
- Tetszőleges alkalmazás elindítása
- Push értesítések küldése
- SMS küldése minden kontakt számára vagy célzott személynek
- Beérkező SMS-ek olvasása
- Rendszergazdai jogkör kérése
- Fekete képernyő aktiválása a figyelemeltereléshez
- Hang be- vagy kikapcsolása
- Képernyő lezárása
- Az alapértelmezett SMS-kezelő szerepének átvétele
A kártevő ezenfelül távoli hozzáférést is biztosít (RAT - Remote Access Trojan funkció), így a támadók közvetlenül irányíthatják az eszközt. Különösen veszélyes, hogy képernyőképeket tud készíteni például a Google Authenticator alkalmazásról, így az ott megjelenő egyszeri jelszavakat is ellophatja – ezzel megkerülhetővé válik a kétfaktoros hitelesítés is. A támadás során az áldozat csupán egy fekete képernyőt lát, így azt hiheti, hogy az eszköze lezárult vagy lefagyott.
Hogyan védekezzünk?
A Crocodilus elleni védekezés legfontosabb eszköze az elővigyázatosság. Csak hivatalos forrásból – például a Google Play Áruházból – szabad alkalmazásokat telepíteni. Minden telepítés előtt ellenőrizni kell az alkalmazás által kért jogosultságokat. Emellett erősen ajánlott a Play Protect funkció bekapcsolása, amely segít kiszűrni a gyanús alkalmazásokat.
A Crocodilus megjelenése ismét emlékeztet arra, hogy a kriptovaluták kezelése során kiemelt figyelmet kell fordítani az online biztonságra és az érzékeny adatok védelmére.
(via)
