Το Android Trojan Crocodilus είναι πλέον ενεργό σε 8 χώρες
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Το Android Trojan Crocodilus είναι πλέον ενεργό σε 8 χώρες
https://www.secnews.gr/650005/android-trojan-crocodilus-einai-pleon-energo-8-xores/
Jun 3rd 2025, 14:03
by Absenta Mia
Ένας αυξανόμενος αριθμός κακόβουλων εκστρατειών αξιοποιεί ένα πρόσφατα ανακαλυφθέν τραπεζικό trojan για Android με την ονομασία Crocodilus, προκειμένου να στοχεύσει χρήστες στην Ευρώπη και τη Νότια Αμερική.
Δείτε επίσης: Η ανάλυση malware αποκαλύπτει εξελιγμένο RAT
Σύμφωνα με νέα έκθεση που δημοσιεύθηκε από την ThreatFabric, το κακόβουλο λογισμικό έχει υιοθετήσει βελτιωμένες τεχνικές συσκότισης για να δυσκολεύει την ανάλυση και τον εντοπισμό του, ενώ διαθέτει και τη δυνατότητα να δημιουργεί νέες επαφές στη λίστα επαφών του θύματος.
Το trojan Crocodilus καταγράφηκε δημόσια για πρώτη φορά τον Μάρτιο του 2025, όταν στοχοποιούσε χρήστες Android συσκευών στην Ισπανία και την Τουρκία, προσποιούμενο ότι είναι νόμιμες εφαρμογές όπως το Google Chrome. Το κακόβουλο λογισμικό είναι εξοπλισμένο με λειτουργίες που του επιτρέπουν να εκτελεί επιθέσεις επικαλύψεων (overlay attacks) σε μια λίστα χρηματοοικονομικών εφαρμογών, την οποία λαμβάνει από εξωτερικό διακομιστή, με σκοπό τη συλλογή διαπιστευτηρίων.
Επιπλέον, το κακόβουλο λογισμικό εκμεταλλεύεται τα δικαιώματα των υπηρεσιών προσβασιμότητας για να καταγράφει seed phrases που σχετίζονται με πορτοφόλια κρυπτονομισμάτων, οι οποίες μπορούν στη συνέχεια να χρησιμοποιηθούν για την αφαίρεση των ψηφιακών περιουσιακών στοιχείων που είναι αποθηκευμένα σε αυτά.
Τα πιο πρόσφατα ευρήματα της ThreatFabric καταδεικνύουν την επέκταση της γεωγραφικής εμβέλειας του Crocodilus trojan, καθώς και τη συνεχή ανάπτυξή του με βελτιώσεις και νέες λειτουργίες, κάτι που υποδηλώνει ότι συντηρείται ενεργά από τους διαχειριστές του.
Δείτε ακόμα: Interlock ransomware: Η συμμορία χρησιμοποιεί το νέο NodeSnake RAT
Ορισμένες στοχευμένες καμπάνιες στην Πολωνία φαίνεται να χρησιμοποιούν ψευδείς διαφημίσεις στο Facebook ως μέσο διανομής, προσποιούμενες ότι προέρχονται από τράπεζες και πλατφόρμες ηλεκτρονικού εμπορίου. Οι διαφημίσεις αυτές παραπλανούν τα θύματα ώστε να κατεβάσουν μια εφαρμογή για να διεκδικήσουν δήθεν πόντους επιβράβευσης. Όσοι προσπαθούν να κατεβάσουν την εφαρμογή, ανακατευθύνονται σε έναν κακόβουλο ιστότοπο που διανέμει το Crocodilus dropper.
Άλλα κύματα επιθέσεων που στοχεύουν χρήστες στην Ισπανία και την Τουρκία μεταμφιέστηκαν ως ενημέρωση για πρόγραμμα περιήγησης ιστού ή ως διαδικτυακό καζίνο. Η Αργεντινή, η Βραζιλία, η Ινδία, η Ινδονησία και οι Ηνωμένες Πολιτείες συγκαταλέγονται επίσης στις χώρες που έχουν βρεθεί στο στόχαστρο του κακόβουλου λογισμικού.
Εκτός από την ενσωμάτωση ποικίλων τεχνικών συσκότισης για να δυσχεράνει τις προσπάθειες αντίστροφης μηχανικής, νέες παραλλαγές του Crocodilus trojan διαθέτουν τη δυνατότητα να προσθέτουν μια συγκεκριμένη επαφή στη λίστα επαφών του θύματος, μόλις ληφθεί η εντολή "TRU9MMRHBCRO".
Υπάρχουν υποψίες ότι αυτό το χαρακτηριστικό έχει σχεδιαστεί ως αντίμετρο στις νέες λειτουργίες ασφαλείας που έχει εισάγει η Google στο Android, οι οποίες προειδοποιούν τους χρήστες για πιθανές απάτες όταν ανοίγουν τραπεζικές εφαρμογές κατά τη διάρκεια κοινής χρήσης οθόνης με άγνωστη επαφή. Ένα ακόμη νέο χαρακτηριστικό είναι ένας αυτόματος συλλέκτης seed phrases, ο οποίος χρησιμοποιεί έναν αναλυτή (parser) για να εξάγει seed phrases και ιδιωτικά κλειδιά από συγκεκριμένα πορτοφόλια κρυπτονομισμάτων.
Δείτε επίσης: Bitdefender antivirus: Ψεύτικο site διανέμει το Venom RAT
Βάσει των παραπάνω, είναι σαφές ότι το Crocodilus trojan αποτελεί μια από τις πιο εξελιγμένες και επικίνδυνες απειλές στον χώρο του Android malware. Το γεγονός ότι στοχεύει όχι μόνο τραπεζικές εφαρμογές αλλά και πορτοφόλια κρυπτονομισμάτων, δείχνει πως οι δημιουργοί του προσαρμόζονται στις νέες τάσεις στον τομέα των ψηφιακών οικονομικών.
Πηγή: thehackernews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Το Android Trojan Crocodilus είναι πλέον ενεργό σε 8 χώρες
https://www.secnews.gr/650005/android-trojan-crocodilus-einai-pleon-energo-8-xores/
Jun 3rd 2025, 14:03
by Absenta Mia
Ένας αυξανόμενος αριθμός κακόβουλων εκστρατειών αξιοποιεί ένα πρόσφατα ανακαλυφθέν τραπεζικό trojan για Android με την ονομασία Crocodilus, προκειμένου να στοχεύσει χρήστες στην Ευρώπη και τη Νότια Αμερική.
Δείτε επίσης: Η ανάλυση malware αποκαλύπτει εξελιγμένο RAT
Σύμφωνα με νέα έκθεση που δημοσιεύθηκε από την ThreatFabric, το κακόβουλο λογισμικό έχει υιοθετήσει βελτιωμένες τεχνικές συσκότισης για να δυσκολεύει την ανάλυση και τον εντοπισμό του, ενώ διαθέτει και τη δυνατότητα να δημιουργεί νέες επαφές στη λίστα επαφών του θύματος.
Το trojan Crocodilus καταγράφηκε δημόσια για πρώτη φορά τον Μάρτιο του 2025, όταν στοχοποιούσε χρήστες Android συσκευών στην Ισπανία και την Τουρκία, προσποιούμενο ότι είναι νόμιμες εφαρμογές όπως το Google Chrome. Το κακόβουλο λογισμικό είναι εξοπλισμένο με λειτουργίες που του επιτρέπουν να εκτελεί επιθέσεις επικαλύψεων (overlay attacks) σε μια λίστα χρηματοοικονομικών εφαρμογών, την οποία λαμβάνει από εξωτερικό διακομιστή, με σκοπό τη συλλογή διαπιστευτηρίων.
Επιπλέον, το κακόβουλο λογισμικό εκμεταλλεύεται τα δικαιώματα των υπηρεσιών προσβασιμότητας για να καταγράφει seed phrases που σχετίζονται με πορτοφόλια κρυπτονομισμάτων, οι οποίες μπορούν στη συνέχεια να χρησιμοποιηθούν για την αφαίρεση των ψηφιακών περιουσιακών στοιχείων που είναι αποθηκευμένα σε αυτά.
Τα πιο πρόσφατα ευρήματα της ThreatFabric καταδεικνύουν την επέκταση της γεωγραφικής εμβέλειας του Crocodilus trojan, καθώς και τη συνεχή ανάπτυξή του με βελτιώσεις και νέες λειτουργίες, κάτι που υποδηλώνει ότι συντηρείται ενεργά από τους διαχειριστές του.
Δείτε ακόμα: Interlock ransomware: Η συμμορία χρησιμοποιεί το νέο NodeSnake RAT
Ορισμένες στοχευμένες καμπάνιες στην Πολωνία φαίνεται να χρησιμοποιούν ψευδείς διαφημίσεις στο Facebook ως μέσο διανομής, προσποιούμενες ότι προέρχονται από τράπεζες και πλατφόρμες ηλεκτρονικού εμπορίου. Οι διαφημίσεις αυτές παραπλανούν τα θύματα ώστε να κατεβάσουν μια εφαρμογή για να διεκδικήσουν δήθεν πόντους επιβράβευσης. Όσοι προσπαθούν να κατεβάσουν την εφαρμογή, ανακατευθύνονται σε έναν κακόβουλο ιστότοπο που διανέμει το Crocodilus dropper.
Άλλα κύματα επιθέσεων που στοχεύουν χρήστες στην Ισπανία και την Τουρκία μεταμφιέστηκαν ως ενημέρωση για πρόγραμμα περιήγησης ιστού ή ως διαδικτυακό καζίνο. Η Αργεντινή, η Βραζιλία, η Ινδία, η Ινδονησία και οι Ηνωμένες Πολιτείες συγκαταλέγονται επίσης στις χώρες που έχουν βρεθεί στο στόχαστρο του κακόβουλου λογισμικού.
Εκτός από την ενσωμάτωση ποικίλων τεχνικών συσκότισης για να δυσχεράνει τις προσπάθειες αντίστροφης μηχανικής, νέες παραλλαγές του Crocodilus trojan διαθέτουν τη δυνατότητα να προσθέτουν μια συγκεκριμένη επαφή στη λίστα επαφών του θύματος, μόλις ληφθεί η εντολή "TRU9MMRHBCRO".
Υπάρχουν υποψίες ότι αυτό το χαρακτηριστικό έχει σχεδιαστεί ως αντίμετρο στις νέες λειτουργίες ασφαλείας που έχει εισάγει η Google στο Android, οι οποίες προειδοποιούν τους χρήστες για πιθανές απάτες όταν ανοίγουν τραπεζικές εφαρμογές κατά τη διάρκεια κοινής χρήσης οθόνης με άγνωστη επαφή. Ένα ακόμη νέο χαρακτηριστικό είναι ένας αυτόματος συλλέκτης seed phrases, ο οποίος χρησιμοποιεί έναν αναλυτή (parser) για να εξάγει seed phrases και ιδιωτικά κλειδιά από συγκεκριμένα πορτοφόλια κρυπτονομισμάτων.
Δείτε επίσης: Bitdefender antivirus: Ψεύτικο site διανέμει το Venom RAT
Βάσει των παραπάνω, είναι σαφές ότι το Crocodilus trojan αποτελεί μια από τις πιο εξελιγμένες και επικίνδυνες απειλές στον χώρο του Android malware. Το γεγονός ότι στοχεύει όχι μόνο τραπεζικές εφαρμογές αλλά και πορτοφόλια κρυπτονομισμάτων, δείχνει πως οι δημιουργοί του προσαρμόζονται στις νέες τάσεις στον τομέα των ψηφιακών οικονομικών.
Πηγή: thehackernews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz