كروكوديلوس: برنامج ضار متقدم لنظام الأندرويد يتحكم عن بُعد في تطبيقات البنك الخاصة بك

ظهر برنامج ضار جديد لنظام Android يعرف باسم Crocodilus وهو يثير ضجة في عالم الأمن السيبراني.

يستغل Crocodilus الضحايا بواسطة مطالبات وهمية لنسخة احتياطية للمحفظة لسرقة عبارات البذور.

على عكس التهديدات الأخرى للمصرفية المحمولة مثل Anatsa و Octo التي تطورت تدريجيًا، فإن Crocodilus هو تهديد متطور للغاية منذ البداية. تم اكتشاف هذا البرنامج الضار من قبل الباحثين في ThreatFabric أثناء اجرائهم للفحوصات الروتينية، ووصفوه بأنه خطوة كبيرة إلى الأمام في البرامج الضارة للهواتف المحمولة.

يقول الباحثون أن Crocodilus يعمل كـ “ترويجان للاستيلاء على الجهاز”، مما يعني أن المهاجمين يمكنهم السيطرة على الأجهزة الأندرويد المصابة من مسافة بعيدة.

تتضمن البرامج الخبيثة طرقًا متعددة لحرمان الضحايا من معلوماتهم، بما في ذلك الهجمات الطبقية، وتسجيل المفاتيح، وحتى استخدام خدمات الوصول لنظام أندرويد لتسجيل أنشطة المستخدم. يُستخدم هذا النوع من البرامج الخبيثة بشكل أساسي لسرقة بيانات الدخول للحسابات المصرفية والحسابات الرقمية المشفرة.

بعد تثبيتها على هاتف الضحية، تطلب البرامج الخبيثة الإذن للوصول إلى خدمات الوصول في الهاتف. بعد ذلك، تقوم البرامج الخبيثة بإنشاء اتصال مع خادم بعيد لتلقي تعليمات أخرى وقائمة بالتطبيقات المستهدفة.

نتيجة لذلك، يطور صفحات تسجيل دخول مزيفة تعرف بالطبقات العليا التي يتم وضعها فوق التطبيقات المصرفية والعملات الرقمية الفعلية، بهدف سرقة بيانات تسجيل الدخول للمستخدمين. توضح ThreatFabric أن هذه الهجمات لوحظت بشكل رئيسي في إسبانيا وتركيا، لكنهم يتوقعون انتشار البرمجية الخبيثة على مستوى العالم.

ما يجعل Crocodilus مختلفًا عن البرامج الخبيثة الأخرى هو أنه يمكن جمع المعلومات التي لا تقتصر على كلمات المرور. يُطلق على هذه الميزة اسم “مسجل الوصول”، وهو يلتقط كل ما يتم عرضه على شاشة الهاتف، بما في ذلك OTPs من التطبيقات مثل Google Authenticator.

يتيح ذلك للمهاجمين الحصول على معلومات حساسة تتضمن الاسم والقيمة الخاصة برموز OTP التي يتعين الحصول عليها لتأمين المعاملات.

كما يحتوي البرنامج الضار على “وضع مخفي” حيث يعرض البرنامج الضار شاشة سوداء فوق الجهاز بحيث لا يمكن رؤية أفعال المهاجمين. كما يكتم الأصوات على الجهاز بحيث تمر المعاملات الاحتيالية دون ملاحظة. يقول الباحثون أن هذا يجعل من الصعب جدا على الضحايا أن يدركوا أن أجهزتهم قد تم اختراقها.

“Crocodilus” ليس فقط لتطبيقات المال، بل يعمل أيضا مع محافظ العملات المشفرة. عندما يحصل على بيانات الدخول، يستخدم البرمجية الخبيثة أساليب الهندسة الاجتماعية لطلب من الضحايا الكشف عن عبارة بذور محفظتهم.

على سبيل المثال، تظهر إشعارات مزيفة تخبر المستخدم بالقيام بنسخ احتياطي لمفتاح المحفظة في الـ 12 ساعة القادمة وإلا سيتم حجب الوصول إليها. عندما يستجيب الضحية للمطالبة، يسرق “Crocodilus” عبارة البذور ويسلم المهاجم مفاتيح المحفظة، والتي يمكنهم بعدها تفريغها.

عند النظر الأولي، يبدو أن البرمجة الخبيثة مرتبطة بمجموعة سيبرانية تركية معروفة، ولكن الرابط غير مؤكد.

مع ارتفاع مستمر في التهديدات المتنقلة، من الواضح أن البرمجات الخبيثة مثل Crocodilus تعتبر إشارة واضحة لمدى تقدم هذه البرمجات الخبيثة. مع قدراتها على السيطرة على الأجهزة، إنها أيضًا أداة متطورة لجمع البيانات ويمكن أن تعمل في الخلفية، مما يجعلها تهديدًا يجب أن يُعالج بجدية.

يتعين على المؤسسات المالية والمنصات الرقمية للعملات المشفرة تحسين إجراءات الأمان الخاصة بها لتتمكن من مواجهة هذا النوع من الهجمات المتطورة.