טכניקת הנדסה חברתית מתוחכמת מאפשרת לתוקפים לרוקן ארנקים דיגיטליים במלואם
חברת אבטחת המידע ThreatFabric חשפה לאחרונה נוזקה חדשה בשם Crocodilus המכוונת למשתמשי אנדרואיד ומתמחה בגניבת פרטי התחברות לחשבונות בנק וארנקי מטבעות קריפטוגרפיים. הנוזקה, שנמצאת כרגע בשימוש בעיקר בטורקיה וספרד, מציגה יכולות מתקדמות להשתלטות מרחוק על מכשירים ושימוש בטכניקות הנדסה חברתית מתוחכמות.
מה שהופך את Crocodilus למסוכנת במיוחד היא היכולת שלה להשיג גישה לצירוף המילים הסודי (seed phrase) של ארנקי קריפטו – המפתח שמאפשר שליטה מלאה בנכסים הדיגיטליים של המשתמש. הנוזקה משיגה זאת באמצעות הצגת אזהרה מזויפת שמודיעה למשתמשים כי עליהם "לגבות את מפתח הארנק בהגדרות תוך 12 שעות" או שיסתכנו באובדן גישה לארנק שלהם.
שיטות הפצה והתחמקות מאבטחה
Crocodilus מופצת באמצעות "דרופר" ייעודי שעוקף את מנגנוני האבטחה של אנדרואיד 13 ומעלה. הדרופר מתקין את הנוזקה מבלי להפעיל את מערכת ההגנה Play Protect של גוגל, תוך עקיפת מגבלות שירותי הנגישות (Accessibility Service).
"הדרופר מסווה את עצמו כאפליקציית גוגל כרום ומשתמש בטכניקות מתקדמות כדי לעקוף את ההגבלות החדשות של אנדרואיד", מסבירים החוקרים ב-ThreatFabric. לאחר ההתקנה וההפעלה, האפליקציה מבקשת הרשאות גישה לשירותי הנגישות של אנדרואיד, שנועדו במקור לסייע לאנשים עם מוגבלויות, אך מנוצלים על ידי הנוזקה כדי לנטר את תוכן המסך, לבצע מחוות ניווט ולעקוב אחר הפעלת אפליקציות.
לא ברור כיצד מתרחשת ההדבקה הראשונית, אך בדרך כלל קורבנות מפותים להוריד את הדרופר דרך אתרים זדוניים, מבצעי קידום מזויפים ברשתות חברתיות או בהודעות SMS, וחנויות אפליקציות צד שלישי.
טכניקת גניבת מפתחות הקריפטו
בניגוד לנוזקות בנקאיות אחרות שבדרך כלל גונבות פרטי התחברות, Crocodilus משתמשת בטכניקה ייחודית כדי להשיג גישה למפתחות הקריפטו. כאשר המשתמש פותח אפליקציית ארנק קריפטו, הנוזקה מציגה הודעת אזהרה שנראית לגיטימית המזהירה כי הארנק עומד להינעל אם לא יגובה תוך 12 שעות.
"טריק ההנדסה החברתית הזה מוביל את הקורבן לנווט אל צירוף המילים הסודי שלהם (מפתח הארנק), מה שמאפשר ל-Crocodilus להשיג את הטקסט באמצעות רישום הנגישות", מסבירים ב-ThreatFabric. "עם מידע זה, התוקפים יכולים להשתלט לחלוטין על הארנק ולרוקן אותו במלואו".
יכולות שליטה מרחוק מתקדמות
רכיב הבוט של הנוזקה תומך ב-23 פקודות שהוא יכול לבצע במכשיר, כולל:
- הפעלת הפניית שיחות
- הפעלת אפליקציה ספציפית
- פרסום התראות מזויפות
- שליחת הודעות SMS לכל אנשי הקשר או למספר מסוים
- קבלת הודעות SMS
- בקשת הרשאות מנהל מכשיר
- הפעלת מסך שחור להסתרת פעילות
- הפעלה/השבתה של צליל
- נעילת המסך
- הגדרת עצמה כמנהל הודעות SMS ברירת מחדל
בנוסף, הנוזקה מציעה פונקציונליות של סוס טרויאני לגישה מרחוק (RAT), המאפשרת למפעיליה להקיש על המסך, לנווט בממשק המשתמש, לבצע מחוות החלקה ועוד. קיימת גם פקודת RAT ייעודית לצילום מסך של אפליקציית Google Authenticator ולכידת קודי סיסמה חד-פעמיים המשמשים להגנת חשבון באימות דו-שלבי.
בזמן ביצוע פעולות אלה, מפעילי Crocodilus יכולים להפעיל שכבת מסך שחור ולהשתיק את המכשיר כדי להסתיר את הפעילות מהקורבן ולגרום למכשיר להיראות כאילו הוא נעול.
מקור הנוזקה והתפשטות עתידית
ניתוח קוד המקור וההודעות הדיבאג מצביע על כך שמפתח הנוזקה הוא דובר טורקית. הנוזקה נצפתה בפעולותיה הראשונות כשהיא מתמקדת במשתמשים בטורקיה וספרד, כולל חשבונות בנק משתי המדינות הללו.
מומחי אבטחה מעריכים כי למרות שכרגע Crocodilus נראית כבעלת יעדים ספציפיים המוגבלים לספרד וטורקיה, הנוזקה עשויה להרחיב את פעילותה בקרוב, ולהוסיף עוד אפליקציות לרשימת היעדים שלה.
כיצד להתגונן
החוקרים ממליצים למשתמשי אנדרואיד לנקוט במספר צעדי זהירות כדי להגן על עצמם:
- להימנע מהורדת קבצי APK מחוץ לחנות Google Play
- לוודא ש-Play Protect תמיד פעיל במכשירים שלהם
- לעולם לא לשתף את צירוף המילים הסודי של ארנק הקריפטו דרך אפליקציה כלשהי
- להיות זהירים עם הרשאות אפליקציה, במיוחד בקשות לשירותי נגישות או הרשאות מנהל מכשיר
- להתקין עדכוני אבטחה באופן קבוע
- לשקול התקנת אפליקציית אבטחה ניידת מאמינה
כיום, עם התגברות איומי הסייבר על משתמשי מובייל, חשוב יותר מתמיד להישאר ערניים ולאמץ נהלי אבטחה נאותים כדי להגן על המידע הרגיש והנכסים הדיגיטליים שלנו.
האיום הגדל על אבטחת מובייל
הופעתה של Crocodilus מסמנת הסלמה משמעותית בתחכום וברמת האיום של נוזקות מודרניות. עם יכולות השתלטות מתקדמות, תכונות שליטה מרחוק, ושימוש בהתקפות מסך שחור כבר מגרסאותיה הראשונות, Crocodilus מדגימה רמת בגרות שאינה נפוצה באיומים שזה עתה התגלו.
בעוד שהטכנולוגיה ממשיכה להתפתח, כך גם שיטות ההתקפה של פושעי סייבר. הנוזקה Crocodilus היא תזכורת חשובה לכך שגם משתמשים פרטיים צריכים להיות מודעים לסיכוני האבטחה ולנקוט באמצעי זהירות מתאימים כדי להגן על מכשיריהם ועל הנכסים הדיגיטליים שלהם.
