Kibernetinio saugumo įmonė Threat Fabric paskelbė aptikusi naują mobiliųjų įrenginių kenkėjiškų programų šeimą – „Crocodilus“, kuri naudoja ekrano perdangas tam, kad apgautų Android naudotojus ir išgautų jų kriptovaliutų piniginių raktus, tuo pačiu perimdama įrenginio kontrolę.
„Crocodilus“ virusas periima telefoną
Threat Fabric analitikai kovo 28 d. ataskaitoje teigė, kad Crocodilus virusas rodo netikrą įspėjimą ekrane, raginantį naudotojus kuo greičiau pasidaryti savo kripto piniginės atsarginę kopiją.
Žinutėje teigiama, kad jei naudotojas to nepadarys per 12 valandų, programėlė bus atstatyta, ir jis gali prarasti prieigą prie savo kripto piniginės. Tokiu būdu virusas nukreipia auką į nustatymus, kur rodomas „seed phrase“ raktas, o virusas jį tyliai užfiksuoja naudodamas prieinamumo funkciją.
Turėdami šį raktą, įsilaužėliai gali visiškai perimti pinginę ir ištuštinti visus joje esančius turtus.
Nors „Crocodilus“ yra palyginti naujas virusas, jis turi visas šiuolaikiniams bankų kenkėjams būdingas funkcijas: perdangos atakas, jautrių duomenų fiksavimą per ekrano vaizdus, slaptažodžių vagystes ir nuotolinį prieigos valdymą.
Pradinė infekcija dažniausiai įvyksta, kai naudotojai netyčia atsisiunčia virusą per kenksmingą programinę įrangą, kuri apeina Android 13 saugumo mechanizmus. Įdiegus virusą, jis paprašo įjungti prieinamumo paslaugas, kurios leidžia įsilaužėliams stebėti ir valdyti įrenginį.
Pažangi įsilaužimo sistema
Kai prieiga suteikta, virusas prisijungia prie valdymo serverio ir gauna instrukcijas: taikinių sąrašą ir atitinkamų programėlių perdangas. Jis veikia nuolat, stebi paleidžiamas programėles ir, kai vartotojas atidaro bankinę ar kripto programėlę, iškart paleidžia netikrą perdangą. Tuo metu virusas nutildo garsą ir tyliai perima įrenginio valdymą.
Naudodamiesi pavogtais duomenimis ir slaptažodžiais, įsilaužėliai gali atlikti neteisėtas operacijas, naudodamiesi nuotoline prieiga, be naudotojo žinios.
Threat Fabric pranešė, kad šiuo metu virusas aktyviai taikosi į vartotojus Turkijoje ir Ispanijoje, tačiau prognozuojama, kad grėsmė netrukus išsiplės į daugiau šalių. Analitikai įtaria, kad viruso kūrėjai gali būti turkų kilmės, remiantis kodo komentaruose esančiomis pastabomis.
Taip pat, paminėtas potencialus ryšys su kibernetiniu veikėju, žinomu kaip Sybra, kuris galimai testuoja naują kenkėjišką programinę įrangą.
„Turėdamas pažangias įrenginio perėmimo galimybes, nuotolinio valdymo funkcijas ir nuo pat pradžių naudojamas juodąsias perdangas, Crocodilus demonstruoja brandą, kuri retai pasitaiko naujai atrastoms grėsmėms“, – pridūrė Threat Fabric.
Kenkėjiškos programos evoliucionuoja
Didėjanti tokio tipo grėsmių banga rodo, kaip sparčiai evoliucionuoja kenkėjiškos programos, taikomos į mobiliuosius įrenginius. Kai vis daugiau žmonių naudoja telefonus ne tik bendravimui ar naršymui, bet ir kriptovaliutų valdymui, jie tampa idealiu taikiniu kibernetiniams nusikaltėliams.
Crocodilus rodo, kad įsilaužėliai vis labiau remiasi socialinės inžinerijos metodais, kad apgautų vartotojus pačius suteikti prieigą prie jautriausių duomenų.
Užuot bandę nulaužti sudėtingas sistemas, jie imituoja teisėtą elgesį ir pasinaudoja naudotojo nežinojimu. Tai ypač pavojinga kriptovaliutų srityje, kur prieiga prie piniginės raktų – „seed phrase“ – reiškia visišką kontrolę ir negrįžtamą lėšų praradimą.
Be to, šios atakos dažnai vykdomos taip, kad vartotojas net nepastebi, jog jo įrenginys užkrėstas ar kad kas nors veikia fone.
Skaitmeninis raštingumas dabar yra itin svarbus
Lietuvoje, kur vis daugiau žmonių domisi ir investuoja į kriptovaliutas, svarbu ugdyti skaitmeninį raštingumą ir supratimą apie tokias grėsmes.
Tinkamai sukonfigūruoti saugumo nustatymai, kritiškas požiūris į parsisiunčiamas programėles bei atsargus slaptažodžių ir raktų tvarkymas gali būti esminė apsauga nuo tokio tipo kenkėjų.
Visuomenės informavimas ir edukacija tampa pagrindiniu ginklu kovoje su pažangėjančiais virusais kaip Crocodilus.
