Veszélyes Android kártevő: A Crocodilus ellophatja kriptotárcáját

Egy újonnan felfedezett kártékony program, a Crocodilus, Android felhasználókat céloz meg, és ravasz módon próbálja megszerezni a kriptotárcájukhoz tartozó seed phrase-t (helyreállító kulcsot). A malware nemcsak ezt az érzékeny információt szerzi meg, hanem teljes hozzáférést szerez az eszközhöz, átveszi annak irányítását, és további személyes adatokat is ellophat.

Hogyan működik a támadás?

A támadók először egy rejtett telepítőt (dropper) juttatnak az áldozat eszközére, amely háttérben telepíti a kártékony szoftvert. Amikor a felhasználó megnyit egy banki vagy kriptovalutával kapcsolatos alkalmazást, a Crocodilus egy hamis felületet helyez el az eredeti alkalmazás fölé. Ez a technika – úgynevezett overlay attack – arra szolgál, hogy kicsalja a felhasználó bejelentkezési adatait.

A kártevő pszichológiai manipulációt (social engineering) is alkalmaz, hogy rávegye a felhasználót a seed phrase megadására. A képernyőn egy figyelmeztető üzenet jelenik meg (lásd: 1. ábra), amely azt állítja:

„A Beállítások menüpontban 12 órán belül készítsen biztonsági másolatot a kulcsról, különben elveszítheti a hozzáférést a kriptotárcájához.”

Ha az áldozat beadja a csalnak, saját kezűleg megnyitja a tárcája seed kifejezését, amit a Crocodilus az Accessibility Logger segítségével ellop. A támadók ezután teljesen kiüríthetik a kriptotárcát.

Milyen károkat okozhat a Crocodilus?

A kártevő 23 különböző parancsot képes végrehajtani, többek között:

• Hívásátirányítás bekapcsolása

• Önkéntes alkalmazástelepítés vagy indítás

• SMS-ek küldése és olvasása (akár minden kapcsolattartónak)

• Képernyő zárolása vagy fekete képernyő megjelenítése

• Eszközadminisztrátori jogosultság megszerzése

• Google Authenticator képernyőképeinek elkészítése (így a támadók megkaphatják a kétfaktoros hitelesítés kódjait is)

Emellett távoli hozzáférést (RAT – Remote Access Trojan) is biztosít, így a támadók akár teljes mértékben irányíthatják az eszközt.

Hogyan védekezhetünk?

1. Csak hivatalos forrásból (Google Play) telepítsünk alkalmazásokat!

2. Ellenőrizzük az alkalmazások által kért engedélyeket! (Ha egy játékapp hozzáférést kér az SMS-ekhez, az gyanús.)

3. Kapcsoljuk be a Play Protect-et a Google Play Áruházban.

4. Soha ne adjuk meg a seed phrase-ünket ismeretlen alkalmazásoknak vagy weboldalaknak!

5. Tartsuk naprakészen az operációs rendszert és az alkalmazásokat!

A Crocodilus egy komoly fenyegetés, különösen kriptovaluta-tulajdonosok számára. Azonban megfelelő óvatossággal és biztonsági gyakorlatokkal elkerülhetjük, hogy áldozatai legyünk ennek a kifinomult kártevőnek.

Forrás: ictglobal.hu

Indexkép: Getty Images