Istraživači kažu da se malver distribuira preko droppera koji zaobilazi bezbjednosne zaštite Androida 13 i novijih verzija. Droper instalira malver bez pokretanja Plej Protekta i zaobilazi ograničenja Aksesibiliti Servis.

Ono što Krokodilus čini posebnim je to što koristi socijalni inženjering kako bi žrtve dale pristup svom kripto novčaniku. To se postiže upozorenjem koje preklapa ekran da korisnici moraju da "naprave rezervnu kopiju ključa novčanika u podešavanjima u roku od 12 sati" ili rizikuju da izgube pristup svom novčaniku.

"Ovaj trik soci inženjeringa vodi žrtvu da njene sid fraze (ključ novčanika), omogućavajući Krokodilusu da je ukrade koristeći svoj Aksesibiliti Loger", objašnjava TritFabrik.

"Sa ovim informacijama, napadači mogu da preuzmu potpunu kontrolu nad novčanikom i potpuno ga isprazne", dodaje se u saopštenju, prenosi sajt "Informacija.rs".

I svojim prvim operacijama Krokodilus je ciljao korisnike u Turskoj i Španiji, i bankovne račune iz te dvije zemlje. Po svemu sudeći malver je turskog porijekla.

Nejasno je kako dolazi do infekcije, ali obično su žrtve prevarene da preuzmu dropper sa zlonamjernih sajtova, preko lažnih reklama na društvenim mrežama ili SMS-a i nezvaničnih prodavnica aplikacija.

Kada se pokrene, Krokodilus dobija pristup Aksesibiliti Servis, koji je namijenjen za pomoć osobama sa invaliditetom, da bi dobio pristup sadržaju na ekranu i nadgledao pokretanje aplikacija.

Kada žrtva otvori aplikaciju banke ili novčanik za kriptovalutu, Krokodilus učitava lažni ekran preko prave aplikacije kako bi presreo podatke za prijavljivanje na nalog žrtve.

Šta sve može?

Malver podržava 23 komande koje može da izvrši na uređaju, uključujući prosleđivanje poziva, pokretanje određene aplikacije, objavljivanje push obaviještenja, slanje SMS-ova svim kontaktima ili određenom broju, dobijanje SMS poruke, zahtjevanje privilegija administratora uređaja, uključivanje i isključivanje zvuka, zaključavanje ekrana, kao i da bude podrazumijevana SMS aplikacija.

Malver takođe nudi funkciju trojanaca za daljinski pristup (RAT), koja omogućava operaterima da dodiruju ekran, kreću se po korisničkom interfejsu, izvode pokrete prevlačenja i još mnogo toga.

Postoji i namjenska RAT komanda za skrinšot aplikacije Guge Autentikator i snimanje jednokratnih kodova koji se koriste za zaštitu naloga dvofaktorskom autentifikacijom.

Dok obavljaju ove radnje, operateri mogu da aktiviraju preklapanje crnog ekrana i isključe zvuk uređaja kako bi od žrtve sakrili ono što se dešava na uređaju tako da njoj izgleda kao da je uređaj zaključan.

Malver bi uskoro mogao da se proširi po cijelom svijetu, a oni koji stoje iza ovog malvera mogli bi dodati još aplikacija na listu ciljanih aplikacija.

Korisnicima Androida se savjetuje da izbjegavaju preuzimanje APK-ova izvan Gugl Plej i da Plej Protekt bude uvijek aktivan na njihovim uređajima, prenosi "b92".

Pratite nas i putem Vibera