Fókuszban a kriptotárcák
A Crocodilus különlegessége, hogy social engineering módszerekkel veszi rá az áldozatokat kriptotárcájuk helyreállítási kifejezésének megadására. Ezt egy képernyő-átfedéssel éri el, amely figyelmezteti a felhasználókat, hogy 12 órán belül készítsenek biztonsági mentést a tárcakulcsukról a beállításokban, különben elveszíthetik a hozzáférést a tárcájukhoz.
Ez a trükk az áldozatot a helyreállítási kifejezés (vagy tárcakulcs) megadására ösztönzi, amit a Crocodilus az Accessibility Logger segítségével olvas ki. Ezzel az információval a támadók teljes irányítást szereznek a tárca felett, és teljesen kiüríthetik azt.
Török eredet, nemzetközi célpontok
Első műveletei során a Crocodilus Törökországban és Spanyolországban célzott meg felhasználókat, beleértve e két ország bankszámláit is. A hibaüzenetek alapján úgy tűnik, hogy a malware török eredetű.
Nem világos, hogyan történik az első fertőzés, de az áldozatokat jellemzően rosszindulatú webhelyeken, közösségi médiában vagy SMS-ben megjelenő hamis promóciók, illetve harmadik féltől származó alkalmazásboltok használatával veszik rá a letöltésre.
Kiterjedt irányítási képességek
Elindítás után a Crocodilus hozzáférést szerez az Accessibility Service-hez, hogy engedélyezze a képernyőtartalom elérését, navigációs gesztusok végrehajtását és az alkalmazások indításának figyelemmel követését.
Amikor az áldozat megnyit egy célzott banki vagy kriptovaluta-alkalmazást, a Crocodilus hamis átfedést jelenít meg az eredeti alkalmazás tetején, hogy így fogja el az áldozat fiókadatait.
23 távoli parancs
A malware 23 különböző parancsot támogat, például hívásátirányítást, alkalmazások indítását, SMS-küldést és a képernyőzár aktiválását. Emellett távelérési trójaiként is működik, amely lehetővé teszi, hogy a kiberbűnözők irányítsák a képernyőt, navigáljanak a felhasználói felületen, és más műveleteket hajtsanak végre.
Van egy dedikált parancs is a Google Authenticator alkalmazás képernyőjének rögzítésére, amely lehetővé teszi a kétfaktoros hitelesítéshez használt egyszeri jelszavak ellopását.
Az Android-felhasználóknak azt javasolják, hogy kerüljék az APK-k letöltését a Google Play-en kívüli forrásokból, és győződjenek meg arról, hogy a Play Protect mindig aktív az eszközeiken.
