Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Mobile Malware Crocodilus Banking-Trojaner

Crocodilus Banking-Trojaner

Von Mezo in Mobile Malware, Banking-Trojaner
Übersetzen Sie in:
Deutsch

Cybersicherheitsexperten haben eine neue Android-Banking-Malware namens Crocodilus entdeckt, die vor allem Nutzer in Spanien und der Türkei ins Visier nimmt. Im Gegensatz zu vielen neuen Bedrohungen, die als rudimentäre Versionen bestehender Malware beginnen, betritt Crocodilus die Cybercrime-Landschaft als voll entwickelter, hochentwickelter Banking-Trojaner.

Fortgeschrittene Techniken für maximalen Schaden

Crocodilus verwendet moderne Techniken wie:

  • Fernsteuerungsfunktionen
  • Schwarze Bildschirmüberlagerungen, um seine Anwesenheit zu verbergen
  • Erweiterte Datenerfassung durch Zugriffsprotokollierung

Wie andere Banking-Trojaner zielt er darauf ab, ein Gerät (DTO) zu übernehmen und Cyberkriminellen betrügerische Transaktionen zu ermöglichen. Eine genauere Analyse des Quellcodes und der Debug-Meldungen deutet darauf hin, dass der Autor der Malware türkischsprachig ist.

Als Google Chrome getarnt, um der Erkennung zu entgehen

Crocodilus wurde entwickelt, um die Sicherheitsbeschränkungen von Android 13+ zu umgehen, indem es sich als Google Chrome ausgibt (Paketname: „quizzical.washbowl.calamity“). Nach der Installation fordert die gefälschte Anwendung Berechtigungen für den Bedienungshilfedienst an und erhält dadurch die vollständige Kontrolle über das Gerät.

Nach der Aktivierung stellt es eine Verbindung zu einem Remote Command-and-Control (C2)-Server her, um:

  • Weitere Anweisungen erhalten
  • Rufen Sie die Liste der gezielten Finanz-Anwendungen ab
  • Setzen Sie HTML-Overlays ein, um Benutzeranmeldeinformationen zu stehlen

Kryptowährungs-Wallets im Fadenkreuz

Crocodilus beschränkt sich nicht nur auf Bankanwendungen, sondern zielt auch auf Kryptowährungs-Wallets ab. Statt einer gefälschten Anmeldeseite täuscht der Schädling seine Opfer mit einer betrügerischen Backup-Warnung. Diese warnt sie, ihre Seed-Phrase innerhalb von 12 Stunden zu speichern, da sie sonst ihr Vermögen verlieren könnten.

Diese Social-Engineering-Taktik manipuliert die Opfer und führt sie dazu, ihre Seed-Phrasen aufzurufen, die dann durch Missbrauch des Zugangsdienstes abgegriffen werden. Mit diesen Informationen können die Angreifer die Kontrolle über die Wallet übernehmen und deren Guthaben leeren.

Kontinuierliche Überwachung und Diebstahl von Anmeldeinformationen

Crocodilus ist so konzipiert, dass es dauerhaft im Hintergrund läuft, den Start von Anwendungen genau überwacht und Overlays auslöst, um Anmeldeinformationen abzufangen. Es kann:

  • Überwachen Sie alle Barrierefreiheitsereignisse
  • Erfassen Sie alle auf dem Bildschirm angezeigten Elemente
  • Machen Sie Screenshots von Google Authenticator, um die Zwei-Faktor-Authentifizierung zu umgehen

Auf diese Weise stellt Crocodilus sicher, dass seine Betreiber keine Anmeldeaktivitäten bemerken.

Stealth-Modus: Schädliche Aktivitäten verbergen

Um unentdeckt zu bleiben, setzt Crocodilus verschiedene Tarntaktiken ein, darunter:

  • Anzeigen einer schwarzen Bildschirmüberlagerung, um nicht autorisierte Aktivitäten zu verbergen
  • Stummschalten von Geräuschen, um zu verhindern, dass Opfer verdächtige Warnungen hören

Diese Maßnahmen machen es für die Opfer wesentlich schwieriger, zu erkennen, dass ihre Geräte kompromittiert wurden.

Ein mächtiges Arsenal an schädlichen Funktionen

Crocodilus verfügt über eine Reihe von Bedrohungsfunktionen, die es ihm ermöglichen, die vollständige Kontrolle über ein infiziertes Gerät zu übernehmen. Es kann bestimmte Anwendungen starten, sich vom Gerät entfernen, um eine Erkennung zu vermeiden, und Push-Benachrichtigungen senden, um das Benutzerverhalten zu manipulieren. Die Malware kann außerdem SMS-Nachrichten an ausgewählte oder alle Kontakte senden, Kontaktlisten abrufen und eine Liste der installierten Anwendungen abrufen. So erhalten Angreifer einen umfassenden Überblick über den digitalen Fußabdruck des Opfers.

Darüber hinaus kann Crocodilus SMS-Nachrichten lesen, Geräteadministratorrechte anfordern, um umfassendere Kontrolle zu erlangen, und einen Black-Overlay-Modus aktivieren, um seine unsicheren Aktivitäten zu verbergen. Er aktualisiert regelmäßig die Einstellungen seines Command-and-Control-Servers (C2), um sicherzustellen, dass er sich an neue Anweisungen seiner Betreiber anpassen und darauf reagieren kann. Um seine Tarnoperationen zu verstärken, kann er den Ton ein- oder ausschalten, Keylogging aktivieren, um Benutzereingaben zu erfassen, und sich sogar selbst zum Standard-SMS-Manager machen, um Nachrichten unbemerkt abzufangen und zu manipulieren.

Crocodilus: Eine neue Bedrohung für Mobile Banking

Das Auftauchen von Crocodilus markiert eine gefährliche Steigerung der Komplexität von Schadsoftware für mobiles Banking. Im Gegensatz zu vielen neu entdeckten Bedrohungen ist Crocodilus von Anfang an ausgereift und nutzt fortschrittliche Techniken zur Geräteübernahme, Fernsteuerungsfunktionen und Black-Overlay-Angriffe, um Benutzer zu kompromittieren.

Mit ihrer heimlichen Ausführung und ihren robusten Funktionen setzt diese Malware einen neuen Präzedenzfall für Android-Banking-Bedrohungen und beweist, dass Cyberkriminelle ihre Taktiken ständig verbessern, um den Sicherheitsmaßnahmen immer einen Schritt voraus zu sein.

 

Im Trend

Am häufigsten gesehen

Wird geladen...