Crocodilus - nowy, niebezpieczny trojan bankowy atakuje Androida: co musisz wiedzieć

W świecie cyberzagrożeń pojawił się nowy gracz - Crocodilus, zaawansowany trojan bankowy atakujący urządzenia z systemem Android. Eksperci z firmy ThreatFabric ostrzegają, że zagrożenie to rozprzestrzenia się głównie w Hiszpanii i Turcji, ale może w każdej chwili dotrzeć do użytkowników w innych krajach - również w Polsce.

Jak działa Crocodilus?

Crocodilus rozpoczyna swoją działalność od ukrycia się w tzw. “dropperze” - złośliwej aplikacji, która z pozoru wygląda niewinnie, np. jako:

• aktualizacja systemu,
• fałszywa aplikacja bankowa,
• narzędzie do zarządzania baterią,
• aplikacja VPN z podejrzanego źródła.

Po zainstalowaniu, program prosi użytkownika o nadanie mu dostępu do usług ułatwień dostępu (Accessibility Services). Jeśli użytkownik się zgodzi - Crocodilus zyskuje niemal pełną kontrolę nad urządzeniem.

Jakie dane kradnie Crocodilus?

Crocodilus to nie jest zwykły wirus. To cyfrowy złodziej o bardzo szerokich możliwościach. Może kraść:

• Dane logowania do bankowości mobilnej - poprzez nakładki (tzw. “overlays”), które wyglądają identycznie jak oryginalne ekrany logowania.
• Hasła i dane kart płatniczych - wpisywane ręcznie lub automatycznie.
• Kody SMS do autoryzacji - trojan może czytać treść SMS-ów, także tych służących do uwierzytelniania dwuskładnikowego.
• Zawartość portfeli kryptowalutowych - podszywając się pod aplikacje takie jak Trust Wallet, MetaMask czy Binance, wyświetla fałszywe komunikaty i wymusza podanie frazy seed (12/24 słów).
• Dane osobowe - takie jak numer telefonu, kontakty, e-mail, lokalizacja, a nawet dane urządzenia (IMEI, model).
• Wszystkie naciśnięcia klawiszy (keylogger) - wszystko, co wpisujesz, jest rejestrowane.

Dlaczego jest tak niebezpieczny?

Crocodilus może działać w tle, wyświetlając czarny ekran lub wyciszając dźwięk, by użytkownik nie zauważył niczego podejrzanego. Cyberprzestępcy mogą zdalnie sterować telefonem, uruchamiać aplikacje, przechodzić przez zabezpieczenia bankowe i wypłacać pieniądze - wszystko, jakby to robił właściciel telefonu.

Jakie aplikacje mogą być podejrzane?

Trojan może być ukryty w aplikacjach pobieranych spoza Google Play - tzw. nieznanych źródeł (ang. “sideloaded apps”). Przykłady:

• Aplikacje oferujące “czyszczenie pamięci” lub “przyspieszanie systemu”.
• Fałszywe wersje popularnych programów (np. WhatsApp Plus, modowane YouTube’y).
• Pirackie gry lub aplikacje premium za darmo.
• Fałszywe aktualizacje oprogramowania.
• Reklamy z podejrzanych stron internetowych zachęcające do pobrania aplikacji.

Jak się chronić?

• Nie instaluj aplikacji z nieznanych źródeł - trzymaj się Google Play, a i tam bądź ostrożny.
• Nie udzielaj aplikacjom nieznanych uprawnień, zwłaszcza dostępu do usług dostępności.
• Używaj renomowanego oprogramowania antywirusowego (np. Bitdefender, ESET, Avast).
• Aktualizuj system i aplikacje regularnie, ponieważ aktualizacje często zawierają poprawki bezpieczeństwa.
• Sprawdzaj uprawnienia aplikacji, które już masz zainstalowane.

Crocodilus to nowoczesny i wyrafinowany trojan, który może skutecznie zinfiltrować telefon i przejąć nad nim kontrolę. Dzięki zaawansowanym funkcjom i podszywaniu się pod legalne aplikacje, może pozostać niezauważony aż do momentu, gdy... znikną Twoje oszczędności.

Jeśli coś wydaje się zbyt dobre, by było prawdziwe - prawdopodobnie to Crocodilus w przebraniu.