- 19,417
- 40
- 8 Ноя 2022
Первые тревожные сигналы пришли из Европы, но теперь следы ведут гораздо дальше.
Банковский троян Crocodilus, впервые зафиксированный Для просмотра ссылки Войдиили Зарегистрируйся , стремительно выходит за пределы первоначальных мишеней и распространяется по Европе и Южной Америке. Для просмотра ссылки Войди или Зарегистрируйся отчёта компании Для просмотра ссылки Войди или Зарегистрируйся , вредоносное ПО стало технически сложнее, получило новые функции и активно используется в масштабных кампаниях, направленных Для просмотра ссылки Войди или Зарегистрируйся .
Изначально Crocodilus маскировался под приложения вроде Google Chrome и атаковал жителей Турции и Испании, используя накладные окна для кражи данных входа в банковские приложения. Однако теперь география вредоноса значительно расширилась: зафиксированы целевые атаки в Польше, Аргентине, Бразилии, Индии, Индонезии и США. При этом атаки в Турции и Испании продолжаются, но получили новые сценарии: в одном случае вредонос распространяется под видом обновления браузера, в другом — под видом онлайн-казино.
Особо выделяются кампании в Польше: здесь злоумышленники размещают поддельные объявления в социальной сети Facebook*, маскируясь под банки и известные интернет-магазины. Обманутых пользователей перенаправляют на вредоносный сайт, где им предлагают скачать приложение для получения бонусов. Фактически же загружается дроппер Crocodilus.
Одна из новых функций трояна — возможность добавления фальшивого контакта в адресную книгу заражённого устройства по команде «TRU9MMRHBCRO». Исследователи предполагают, что этот механизм нужен для обхода новой защиты Android, предупреждающей о возможном мошенничестве при запуске банковских приложений в режиме совместного экрана. Добавленный контакт с именем по типу «Поддержка банка» позволяет злоумышленникам звонить жертве и казаться легитимной службой, обходя при этом системы ант Для просмотра ссылки Войдиили Зарегистрируйся , которые распознают неизвестные номера.
Также в свежих версиях Crocodilus появилась функция автоматического сбора seed-фраз и приватных ключей от криптовалютных кошельков. Это реализовано через специальный парсер, способный извлекать такие данные из интерфейсов популярных кошельков, используя права на доступ к службам доступности Android. После захвата информации злоумышленники получают прямой доступ к криптоактивам жертвы.
Кроме того, вредонос теперь применяет усовершенствованные методы обфускации, что затрудняет его анализ и детектирование антивирусными решениями. Всё это говорит о том, что Crocodilus не только активно поддерживается, но и быстро развивается, становясь всё более опасным. По мнению специалистов ThreatFabric, перед пользователями стоит уже не региональная, а глобальная Для просмотра ссылки Войдиили Зарегистрируйся .
<span style="font-size: 10pt;">* Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.</span><span style="font-size: 10pt;"></span>
Банковский троян Crocodilus, впервые зафиксированный Для просмотра ссылки Войди
Изначально Crocodilus маскировался под приложения вроде Google Chrome и атаковал жителей Турции и Испании, используя накладные окна для кражи данных входа в банковские приложения. Однако теперь география вредоноса значительно расширилась: зафиксированы целевые атаки в Польше, Аргентине, Бразилии, Индии, Индонезии и США. При этом атаки в Турции и Испании продолжаются, но получили новые сценарии: в одном случае вредонос распространяется под видом обновления браузера, в другом — под видом онлайн-казино.
Особо выделяются кампании в Польше: здесь злоумышленники размещают поддельные объявления в социальной сети Facebook*, маскируясь под банки и известные интернет-магазины. Обманутых пользователей перенаправляют на вредоносный сайт, где им предлагают скачать приложение для получения бонусов. Фактически же загружается дроппер Crocodilus.
Одна из новых функций трояна — возможность добавления фальшивого контакта в адресную книгу заражённого устройства по команде «TRU9MMRHBCRO». Исследователи предполагают, что этот механизм нужен для обхода новой защиты Android, предупреждающей о возможном мошенничестве при запуске банковских приложений в режиме совместного экрана. Добавленный контакт с именем по типу «Поддержка банка» позволяет злоумышленникам звонить жертве и казаться легитимной службой, обходя при этом системы ант Для просмотра ссылки Войди
Также в свежих версиях Crocodilus появилась функция автоматического сбора seed-фраз и приватных ключей от криптовалютных кошельков. Это реализовано через специальный парсер, способный извлекать такие данные из интерфейсов популярных кошельков, используя права на доступ к службам доступности Android. После захвата информации злоумышленники получают прямой доступ к криптоактивам жертвы.
Кроме того, вредонос теперь применяет усовершенствованные методы обфускации, что затрудняет его анализ и детектирование антивирусными решениями. Всё это говорит о том, что Crocodilus не только активно поддерживается, но и быстро развивается, становясь всё более опасным. По мнению специалистов ThreatFabric, перед пользователями стоит уже не региональная, а глобальная Для просмотра ссылки Войди
<span style="font-size: 10pt;">* Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.</span><span style="font-size: 10pt;"></span>
- Источник новости
- www.securitylab.ru
