Crocodilus: Gelişmiş Bir Android Zararlı Yazılımı, Bankacılık Uygulamalarınızın Uzaktan Kontrolünü Ele Geçiriyor

Yeni bir Android zararlı yazılımı olan Crocodilus ortaya çıktı ve siber güvenlik dünyasında fırtınalar koparıyor.

Crocodilus, sahte cüzdan yedekleme istemleriyle kurbanları manipüle ederek seed ifadelerini çalmaktadır.

Anatsa ve Octo gibi diğer mobil bankacılık tehditlerinin aksine, Crocodilus başından itibaren oldukça sofistike bir tehdittir. Bu zararlı yazılım, rutin kontrollerini gerçekleştirirken ThreatFabric araştırmacıları tarafından keşfedildi ve mobil zararlı yazılımlarda önemli bir ilerleme olarak tanımladılar.

Araştırmacılar, Crocodilus’un bir “cihaz ele geçirme” Truva atı olarak işlev gördüğünü, yani saldırganların enfekte olmuş Android cihazları uzaktan kontrol edebildiklerini söylüyor.

Bu kötü amaçlı yazılım, ekran üstü saldırılar, tuş kaydı ve hatta Android’in Erişilebilirlik Hizmetlerini kullanarak kullanıcı aktivitelerini kaydetme gibi tekniklerle kurbanlarını bilgilerinden mahrum bırakma yöntemlerine sahiptir. Bu tür bir kötü amaçlı yazılım, genellikle banka ve kripto hesap bilgilerini çalmak için kullanılır.

Kurbanın telefonuna yüklendikten sonra, kötü amaçlı yazılım, telefonun erişilebilirlik hizmetlerine erişim izni ister. Ardından, kötü amaçlı yazılım, daha fazla talimat almak ve hedef alınacak bir uygulama listesi almak için uzak bir sunucuyla bağlantı kurar.

Sonuç olarak, kullanıcıların giriş bilgilerini çalmayı hedefleyen ve gerçek bankacılık ve kripto para birimi uygulamalarının üzerine yerleştirilen sahte giriş sayfaları, yani overlay’ler geliştirir. ThreatFabric, bu saldırıların özellikle İspanya ve Türkiye’de gözlendiğini, ancak zararlı yazılımın global olarak yayılmasını beklediklerini açıklıyor.

Crocodilus’u diğer zararlı yazılımlardan ayıran şey, toplayabildiği bilginin sadece şifrelerle sınırlı olmamasıdır. Bu özelliğe “Erişilebilirlik Kaydedici” denir ve telefon ekranında gösterilen her şeyi, Google Authenticator gibi uygulamalardan gelen OTP’leri dahi yakalar.

Bu, saldırganların, işlemleri güvence altına almak için gereken OTP’lerin adını ve değerini de içeren hassas bilgileri elde etmelerini mümkün kılar.

Ayrıca bu zararlı yazılımın, saldırganların eylemlerinin görülmemesi için cihazda siyah bir ekran örtüsü gösteren bir “gizli modu” da vardır. Ayrıca cihazdaki sesleri kapatır, böylece sahtekarlık işlemleri fark edilmeden gerçekleşir. Araştırmacılar, bu durumun kurbanların cihazlarının tehlikeye girdiğini anlamalarını çok zorlaştırdığını belirtiyor.

Crocodilus sadece finansal uygulamalar için değil, aynı zamanda kripto para cüzdanları ile de çalışır. Giriş bilgilerini aldığında, zararlı yazılım, kurbanların cüzdanlarının seed (anahtar) ifadesini açıklamaları için sosyal mühendislik taktiklerini kullanır.

Örneğin, sahte bir bildirim çıkar ve kullanıcıya cüzdan anahtarını yedeklemesini veya aksi takdirde dışarıda kalacağını söyler. Kurban isteğe uyduğunda, Crocodilus seed ifadesini çalar ve saldırganın cüzdana erişim sağlamasını ve bu sayede cüzdanı boşaltmasını sağlar.

İlk bakışta, kötü amaçlı yazılımın kodunun tanınmış bir Türkçe konuşan siber grupla bağlantılı olduğu görülüyor, ancak bu bağlantı doğrulanmamıştır.

Mobil tehditlerin her zaman artışta olduğu göz önüne alındığında, Crocodilus gibi kötü amaçlı yazılımların ne kadar gelişmiş olabileceğine dair net bir gösterge olduğu açıktır. Cihaz ele geçirme yetenekleriyle birlikte, aynı zamanda sofistike bir veri toplama aracıdır ve arka planda çalışabilir, bu da onu ciddiye alınması gereken bir tehdit haline getirir.

Finans kurumları ve kripto para platformları, bu tür sofistike saldırılara karşı koyabilmek için güvenlik önlemlerini geliştirmek zorundadırlar.