Crocodilus: Novi Android zlonamjerni softver

Nova sajber prijetnja u obliku Crocodilus naprednog bankarskog trojanca ostavlja stručnjake za sajber bezbjednost bez odgovora. Njegova sposobnost da preuzme kontrolu nad uređajima i lako prikuplja osjetljive informacije stvara prekretnicu za održavanje sajber bezbjednosti, pokazuje istraživanje sigurnosne kompanije ThreatFabric.

CROCODILUS ZLONAMJERNI SOFTVER

Crocodilus je zlonamjerni softver koji cilja na Android uređaje i koji može učitavati lažne slojeve preko bankarskih ili kripto aplikacija kako bi presreo podatke o prijavi i izvršavao različite zlonamjerne radnje. Crocodilus se razlikuje od starijih bankarskih trojanaca kao što su Anatsa ili Octo po tome što je od samog početka ugradio “skrivene” funkcije daljinskog upravljanja.

 

Distribucija

Za svoj širenje, Crocodilus zlonamjerni softver koristi višestruki pristup kroz različite internet platforme i medije. Zlonamjerni akteri koji stoje iza ove prijetnje osmislili su efikasnu strategiju da prevare nesvjesne žrtve da instaliraju softver za ubacivanje na uređaje. Ovaj softver za ubacivanje služi da ubaci zlokobnije elemente zlonamjernog softvera, omogućavajući mu da stekne kontrolu nad kompromitovanim uređajem.

Prva tačka ulaska u ovoj kampanji je preko zlonamjernih internet lokacija. Zlonamjerni akteri često kreiraju lažne ili koriste hakovane internet lokacije koji izgledaju legitimno, ali su zapravo dizajnirani da šire zlonamjerni softver. Žrtve mogu da naiđu na ove internet lokacije dok pretražuju na internetu, a ako kliknu na sumnjive veze ili preuzmu priloge sa njih, njihovi uređaji se mogu zaraziti softverom za ubacivanje Crocodilus zlonamjernog softvera. Pored toga, lažne reklame su takođe korišćene kao sredstvo za širenje ove prijetnje. Ovi oglasi se često pojavljuju na naizgled legitimnim internet lokacijama, ali su zapravo dizajnirani da preusmjere korisnike na zlonamjerne internet lokacije na kojima je uskladišten zlonamjerni softver.

Zlonamjerni akteri su takođe iskoristili platforme društvenih medija i tekstualne poruke (SMS) za širenje ovog zlonamjernog softvera. Taktike socijalnog inženjeringa ovdje igraju značajnu ulogu, gdje žrtve mogu dobiti sumnjive veze ili priloge od prijatelja ili poznanika koji sami možda nisu svjesni prijetnje koju šire. U nekim slučajevima, zlonamjerni akteri čak koriste ugrađene funkcije za razmjenu poruka platformi društvenih medija da šalju direktne poruke sa priloženim zaraženim datotekama. Prodavnice Android aplikacija trećih strana su takođe identifikovane kao kanal za širenje ovog zlonamjernog softvera. Ovim alternativnim tržištima često nedostaju stroge bezbjednosne mjere i mogu ugostiti aplikacije koje sadrže softver za ubacivanje zlonamjernog softvera Crocodilus.

Na osnovu bankovnih računa koji zahvaćenih zlonamjernim softverom Crocodilus, evidentno je da su zlonamjerni akteri posebno aktivni u dva regiona: Turskoj i Španiji. Geografski fokus na Tursku i Španiju ne znači da će drugi regioni u budućnosti biti pošteđeni ove prijetnje, jer stručnjaci za bezbjednost predviđaju da će zlonamjerni akteri proširiti svoje aktivnosti i ciljati druge korisnike u drugim zemljama, što potencijalno može da utiče na korisnike širom sveta.

 

Funkcionisanje

Početni proces Crocodilus instalacije se sprovodi preko vlasničkog softvera za ubacivanje koji zaobilazi bezbjednosna ograničenja koja nameće Android 13+ verzija Google operativnog sistema. Ovaj zlonamjerni softver iskorišćava ranjivosti funkcije pristupačnosti na Android operativnom sistemu, omogućavajući mu da dobije neovlašten pristup osjetljivim informacijama.

Jednom instaliran, Crocodilus zlonamjerni softver traži dozvolu od korisnika da omogući uslugu pristupačnosti, koja zlonamjernom softveru omogućava kontinuirano praćenje pokretanja aplikacija i preklapanja prikazanih na ekranu. Trojanac se zatim povezuje sa svojim serverom za komandu i kontrolu (C2) da bi primio uputstva, uključujući listu ciljnih aplikacija i odgovarajućih prekrivača ekrana dizajniranih da presretnu akreditive. Ovaj prikriveni pristup omogućava Crocodilus zlonamjernom softveru da ostane neotkriven dok prati interakcije korisnika i prikuplja osjetljive podatke.

Mogućnosti praćenja korisničkog unosa (eng. keylogging) zlonamjernog softvera preciznije su opisane kao evidentiranje pristupačnosti, koje uključuje praćenje svih događaja pristupačnosti na uređaju. Snimanjem svake promjene teksta koju izvrši žrtva, uključujući jednokratne lozinke (eng. one-time password – OTP) iz Google Authenticator aplikacije, Crocodilus efektivno bilježi sve elemente prikazane na ekranu.

Korišćenjem funkcija evidentiranja pristupačnosti, zlonamjerni softver nabraja sve elemente prikazane na ekranu u realnom vremenu i bilježi promjene teksta koje je izvršila žrtva. Ovo omogućava zlonamjernim akterima da ukradu jednokratne lozinke (OTP) za blagovremenu upotrebu u dovršavanju lažnih transakcija. Ova napredna funkcija omogućava zlonamjernim akterima da zaobiđu autentifikaciju u više koraka (eng. multi-factor authentication – MFA) i preuzmu kontrolu nad kompromitovanim uređajima.

 

“Pojava Crocodilus trojanca za mobilno bankarstvo označava značajnu eskalaciju u sofisticiranosti i nivou prijetnji koje predstavlja savremeni zlonamjerni softver. Sa svojim naprednim mogućnostima preuzimanja uređaja, funkcijama daljinskog upravljanja i primjenom napada crnog ekrana od svojih najranijih iteracija, Crocodilus demonstrira neobičan nivo zrelosti. Već je primijećeno da cilja banke u Španiji i Turskoj i popularne novčanike sa kriptovalutama, Crocodilus je jasno dizajniran da ide za imovinom visoke vrijednosti.”

– ThreatFabric –

 

Napredne funkcije Crocodilus zlonamjernog softvera omogućavaju mu da sakrije zlonamjerne aktivnosti od žrtve tako što će prikazati crni ekran iznad svih izvršenih radnji. Ovaj prikriveni pristup osigurava da lažne transakcije ostanu neprimijećene, jer zlonamjerni softver takođe isključuje zvuk na inficiranim uređajima. Primjenom ove taktike, zlonamjerni akteri mogu da završe neovlaštene finansijske transakcije bez izazivanja sumnje.

Bot komponenta Crocodilus zlonamjernog softvera podržava 23 komande koje se mogu izvršiti daljinski da bi se poboljšale zlonamjerne aktivnosti na inficiranim uređajima. Ovo su samo neke od komandi koje Crocodilus zlonamjerni softver može izvršiti:

• Pokreni određenu aplikaciju,
• Ukloni se sa uređaja,
• Pošalji obavještenje,
• Pošalji SMS poruke svim/izabranim kontaktima,
• Preuzmi liste kontakata,
• Dobij listu instaliranih aplikacija,
• Dobij SMS poruke,
• Zatraži privilegije administratora uređaja,
• Omogući crni preklop,
• Ažuriraj C2 podešavanja servera,
• Omogući/onemogući zvuk,
• Omogući/onemogući snimanje kucanja,
• Postavi sebe kao podrazumijevanog menadžera za SMS.

Ove komande omogućavaju zlonamjernim akterima da preuzmu potpunu kontrolu nad kompromitovanim uređajima, završe neovlaštene finansijske transakcije bez otkrivanja i učestvuju u drugim zlonamjernim aktivnostima. Sveobuhvatna lista bot komandi ističe napredne mogućnosti Crocodilus zlonamjernog softvera kao bankarskog trojanca za preuzimanje modernog uređaja.

 

Manipulisanje korisnicima kriptovaluta

Zlonamjerni softver Crocodilus manipuliše korisnicima kriptovaluta kako bi ih naveo da dobrovoljno otkriju svoje fraze za oporavak novčanika. Ovo se postiže pomoću pametne smicalice koja se oslanja na strahove i strepnje nesvjesnih žrtava. Proces počinje tako što zlonamjerni softver ukrade korisnički PIN korištenjem tehnike preklapanja, što je u suštini lažni ekran za prijavu dizajniran da uhvati osjetljive informacije.

Jednom kada posjeduje ove ključne podatke, Crocodilus zlonamjerni softver stupa u akciju, prikazujući lažnu poruku upozorenja koja glasi: “Napravite rezervnu kopiju ključa novčanika u podešavanjima u roku od 12 sati. U suprotnom, aplikacija će biti resetovana…” (eng. Back up your wallet key in the settings within 12 hours. Otherwise, the app will be reset…). Ova naizgled bezazlena poruka je pažljivo osmišljena da stvori osjećaj hitnosti i panike među korisnicima koji nisu upoznati sa ovim zlonamjernim softverom. Žrtve u panici, očajnički žele da ne izgube pristup svojim novčanicima, kreću do svoje osnovne fraze u pokušaju da je potvrde prije navodnog roka.

Dok unose ove osjetljive informacije u meni sa podešavanjima, Crocodilus modul za praćenje korisničkog unosa kreće u akciju, hvatajući i prenoseći frazu za oporavak novčanika zlonamjernim akterima koji odmah stupe u akciju. Ovo je razoran udarac za žrtve čiji su novčanici ugroženi lukavom taktikom zlonamjernog softvera. Sa potpunom kontrolom nad ovom digitalnom imovinom koja je sada čvrsto u njihovoj moći, zlonamjerni akteri mogu nastaviti sa trenutnom krađom imovine.

U ovom slučaju, zlonamjerni akteri računaju da korisnici nisu svjesni njihovih pravih namjera ili se previše plaše da preduzmu mjere. Ovo stvara okruženje u kojem se žrtve osjećaju zarobljene između straha od gubitka pristupa svojim novčanicima i uočene sigurnosti koju nudi potvrda njihove osnovne fraze. To je klasičan primjer psihološke manipulacije gdje zlonamjerni akteri koriste taktiku društvenog inženjeringa da bi dobili ono što žele.

 

Porijeklo

Početna analiza sugeriše potencijalnu vezu između Crocodilus zlonamjernog softvera i poznatog zlonamjernog aktera koji se naziva “sybra”. A pored toga zlonamjerni softver sadrži oznake kao što je “sybupdate”, koje su sablasno usklađene sa prethodnim operacijama koje su uključivale Ermac klonove kao što je MetaDroid i druge vrste zlonamjernog softvera za mobilne uređaje kao što su Hook i Octo.

Prisustvo ovih oznaka navelo je sigurnosne istraživače da spekulišu da bi sybra mogao biti više od samo radoznalog posmatrača, već pre aktivan učesnik u razvoju ili distribuciji Crocodilus zlonamjernog softver. Međutim, bitno je napomenuti da pripisivanje ostaje neubjedljivo u ovom trenutku. Sigurnosni istraživači upozoravaju da bi sybra jednostavno mogao da testira Crocodilus kao novi proizvod, umjesto da bude direktno uključen u njegovo stvaranje. Ova nijansa naglašava složenost i suptilnost potrebne kada se pokušavaju pripisati zlonamjerne aktivnosti određenim akterima.

Poruke za otklanjanje grešaka razbacane po izvornom kôdu Crocodilus zlonamjernog softvera otkrivaju jedan iznenađujući detalj – njegovi programeri su vjerovatno pojedinci koji govore turski. Ovo otkriće dodaje intrigantan sloj složenosti poreklu zlonamjernog softvera, izazivajući pitanja o potencijalnim vezama sa drugim zlonamjernim akterima koji djeluju u ovom regionu. Prisustvo programera koji govore turski u izvornom kôdu je navelo neke stručnjake da razmisle da li bi to moglo da ukazuje na širu saradnju između različitih zlonamjernih aktera koje djeluju u više regiona. Ovakav način razmišljanja sugeriše da Crocodilus zlonamjerni softver može biti dio ekosistema u razvoju gdje različiti akteri doprinose svojom stručnošću, resursima ili sposobnostima u potrazi za zajedničkim ciljevima.

 

ZAKLJUČAK

Analiza Crocodilus zlonamjernog softvera otkrila je sofisticirani trojanac za mobilno bankarstvo koji oličava razvojnu prirodu zlonamjernog softvera koji cilja na Android operativni sistem. Sposobnost ovog zlonamjernog softvera da izbjegne ograničenja dozvola za vreme izvršavanja, izvrši napade preklapanja na legitimne bankarske aplikacije i prikupi osjetljive informacije preko modula za praćenje korisničkog unosa čini ga polaznim modelom za buduća istraživanja novih prijetnji. Crocodilus zlonamjerni softver predstavlja značajan napredak u evoluciji mobilnih prijetnji, jer integriše sofisticirane funkcije kao što su RAT funkcionalnost i zamagljeni mehanizmi daljinske kontrole. Za razliku od prethodnika kao što su Anatsa, Octo i Hook, koji su postepeno usavršavali svoje sposobnosti, Crocodilus zlonamjerni softver se pojavljuje kao potpuno zrela i kompletna prijetnja.

Analiza Crocodilus zlonamjernog softvera je ukazala na važnost čvrstih bezbjednosnih mjera u sprečavanju pojave ovakvih infekcija. Ovo uključuje primjenu strogih politika dozvola za vreme izvršavanja, redovno ažuriranje aplikacija i operativnih sistema i korištenje renomiranih antivirusnih softvera za otkrivanje i ublažavanje potencijalnih prijetnji. Nakon svega, treba imati na umu da Crocodilus zlonamjerni softver može poslužiti kao dobar podsjetnik da zlonamjerni akteri razvijaju mobilne prijetnje i neprestano prilagođavaju svoje taktike kako bi izbjegli otkrivanje tradicionalnim bezbjednosnim mjerama. Zbog toga je od suštinskog značaja za sigurnosne istraživače i zainteresovane strane u industriji da sarađuju na razvoju efikasnijih protivmjera protiv novih prijetnji kao što je ova varijanta zlonamjernog softvera.

 

ZAŠTITA

Evo nekoliko preporuka kako se zaštititi od Crocodilus zlonamjernog softvera:

1. Nikada ne dijeliti frazu za povrat novčanika, jer je to najvažnija informacija koja može ugroziti sve digitalne resurse. Nijedna legitimna aplikacija neće tražiti njeno čuvanje putem iskačuće poruke. Umjesto toga, zapisati frazu za povrat novčanika van mreže i čuvati je sigurno u sefu ili zaključnoj fioci. Unositi je samo ako se obnavlja novčanik, jer je to jedini trenutak kada je unos fraze za povrat potreban;
2. Provjeriti autentičnost aplikacije prije instalacije, pogotovo prije instaliranja novih aplikacija, pogotovo iz nepoznatih izvora. Provjeriti njihovu legitimnost i provjeriti recenzije da kako bi se utvrdilo da se ne radi o nosiocu zlonamjernog softvera kao što je Crocodilus, koji se maskiraju kao legitimni softveri. Kako bi se sačuvala bezbjednost, važno je koristiti renomirane prodavnice aplikacija kao što su Google Play, Amazon i Samsung Galaxy Ovaj jednostavan korak može značajno smanjiti vjerovatnoću da uređaj bude zaražen zlonamjernim softverom;
3. Primjenjivati oprez sa dozvolama za aplikacije, jer neke aplikacije mogu zahtijevati privilegije usluge pristupačnosti ili administratora uređaja da bi ispravno funkcionisale. Međutim, zlonamjerni akteri mogu da koriste ove zahteve za neovlašteni pristup uređaju i krađu osjetljivih informacija kao u slučaju Crocodilus zlonamjernog softvera. Uvijek provjeriti recenzije aplikacije i istoriju programera prije nego što im se odobri takav pristup. Sumnjati u bilo koju aplikaciju koja traži prevelike dozvole;
4. Koristiti renomiranu mobilnu bezbjednosnu aplikaciju na pametnom telefonu, jer može da obezbijedi zaštitu u realnom vremenu od zlonamjernog softvera, virusa i drugih sajber prijetnji kao što je Crocodilus zlonamjerni softver;
5. Omogućiti autentifikaciju u više koraka (eng. multi-factor authentication – MFA), jer je to snažna bezbjednosna mjera koja može spriječiti neovlašteni pristup nalozima čak i ako je neko dobio lozinku naloga. Međutim, neki zlonamjerni softveri (kao što je Crocodilus) mogu pokušati da pristupi aplikacijama za autentifikaciju koje generišu jednokratne lozinke u svrhu autentifikacije. Da bi se izbjegao ovaj scenario, koristiti ključeve zasnovane na hardveru;
6. Redovno ažurirati sve aplikacije na uređaju najnovijim bezbjednosnim ispravkama i funkcijama kako bi se spriječilo iskorištavanje od strane zlonamjernog softvera kao što je Crocodilus. Omogućiti respektivno automatska ažuriranja za sve aplikacija kako bi bile zaštićene bez potrebe da se svaki put ručno provjerava da li postoje nove verzije;
7. Koristiti menadžer lozinki za generisanje i čuvanje lozinki ili generisati složene lozinke koje je teško pogoditi. Izbjegavati ponovnu upotrebu iste lozinke na više naloga i redovno ih mijenjati (svakih 60-90 dana), jer to može pomoći u sprečavanju neovlaštenog pristupa čak i ako je neko dobio akreditive za prijavu;
8. Redovno ažurirati operativni sistem pametnog telefona da bi se osiguralo posjedovanje najnovijih bezbjednosnih ažuriranja, funkcija i ispravki grešaka koje mogu biti podložne eksploataciji od strane zlonamjernog softvera kao što je Crocodilus. Omogućiti automatsko ažuriranje kako bi se proces odvijao samostalno bez potrebe da se svaki put ručno provjerava dostupnost ažuriranja;
9. Primjenjivati oprez prilikom povezivanja na javne Wi-Fi mreže, jer mogu biti kompromitovane ili iskorištene kao vektor za distribuciju zlonamjernog softvera kao što je Crocodilus. Izbjegavati korišćenje neobezbijeđenih javnih Wi-Fi veza, posebno kada se pristupa osjetljivim informacijama na internetu. Ako se mora koristiti javna Wi-Fi mreža, razmisliti o korištenju virtualne privatne mreže (eng. virtual private network – VPN) za šifrovanje internet saobraćaja;
10. Koristiti šifrovanje od kraja do kraja (eng. end-to-end encryption – E2EE) na svim komunikacionim kanalima i šifrovanje podataka na uređajima za skladištenje podataka kao što su usluge u oblaku ili spoljni čvrsti diskovi. Ovo može spriječiti neovlašteni pristup čak i ako je neko došao u fizički posjed ove imovine;
11. Važno je biti informisan o najnovijim sajber prijetnjama i najboljim bezbjednosnim praksama za zaštitu od napada kao što je Crocodilus zlonamjerni softver. Redovno pratiti renomirane izvore informacija o sajber bezbjednosti, kao što su internet stranice vladinih agencija ili poznatih IT kompanija koje pružaju smjernice o tome kako ostati bezbjedan u današnjem digitalnom okruženju;
12. Redovne rezervne kopije važnih datoteka su od suštinskog značaja za sprečavanje gubitka u slučaju da nešto krene naopako sa uređajem ili je pristup nalogu ugrožen kao posljedica napada Crocodilus zlonamjernog softvera. Koristiti renomirane usluge u oblaku koje podržavaju šifrovanje od kraja do kraja (E2EE) i prakse bezbjednog skladištenja za pravljenje rezervnih kopija osjetljivih informacija.