عناوینی که در این مقاله می خوانید
هشدار جهانی: بدافزار “کروکودیلوس” با قابلیتهای جدید سرقت رمز ارز و اطلاعات بانکی، به کمین کاربران نشست
تروجان بانکی Crocodilus با کمپینهای جدیدی که کیف پولهای رمز ارزی و برنامههای بانکی را هدف قرار داده، به سرعت در اروپا و آمریکای جنوبی گسترش یافته است.
کروکودیلوس (Crocodilus)، یک تروجان بانکی مخرب اندروید، با راهاندازی کمپینهای جدید، کاربران رمز ارز و مشتریان بانکی را در سراسر اروپا و آمریکای جنوبی هدف قرار داده است. این بدافزار که در ابتدا در مارس ۲۰۲۵ شناسایی شد، عمدتاً محدود به ترکیه بود و در آنجا خود را به عنوان برنامههای کازینوی آنلاین یا اپلیکیشنهای بانکی جعلی معرفی میکرد تا اطلاعات ورود کاربران را به سرقت ببرد.
گسترش جهانی و اهداف جدید
بر اساس یافتههای تیم اطلاعات تهدیدات موبایل (MTI) شرکت ThreatFabric، کمپینهای اخیر نشان میدهند که کروکودیلوس اکنون اهدافی را در کشورهایی مانند لهستان، اسپانیا، آرژانتین، برزیل، اندونزی، هند و ایالات متحده هدف قرار داده است. این گسترش جغرافیایی نشاندهنده یک تهدید رو به رشد و جدی برای کاربران جهانی است.
در یکی از کمپینهای اخیر که کاربران لهستانی را هدف قرار داده بود، مهاجمان از تبلیغات فیسبوک برای ترویج برنامههای وفاداری جعلی استفاده کردند. کلیک کردن روی این تبلیغات، کاربران را به سایتهای مخرب هدایت میکرد که یک دراپر (dropper) کروکودیلوس را به دستگاه آنها منتقل میکرد. این دراپر قادر است محدودیتهای اندروید ۱۳ و نسخههای بالاتر را دور بزند، که نگرانیهای امنیتی را افزایش میدهد. دادههای شفافیت فیسبوک فاش کرده است که این تبلیغات در عرض تنها یک تا دو ساعت به هزاران کاربر، با تمرکز بر مخاطبان بالای ۳۵ سال، دسترسی پیدا کردهاند.
گسترش جهانی بدافزار کروکودیلوس (منبع: ThreatFabric)
قابلیتهای تهاجمی جدید: از فیشینگ تا سرقت کلیدهای خصوصی
پس از نصب، کروکودیلوس صفحات ورود جعلی را روی برنامههای بانکی و رمز ارزی قانونی نمایش میدهد. به عنوان مثال، در اسپانیا، این بدافزار خود را به عنوان یک بهروزرسانی مرورگر جا زده و تقریباً تمام بانکهای بزرگ را هدف قرار داده است.
فراتر از گسترش جغرافیایی، کروکودیلوس قابلیتهای جدیدی نیز به دست آورده است. یکی از ارتقاهای قابل توجه، توانایی آن در تغییر لیست مخاطبین دستگاههای آلوده است. این قابلیت به مهاجمان اجازه میدهد تا شمارههای تلفن را با عنوان “پشتیبانی بانک” در لیست مخاطبین قربانی وارد کنند، که میتواند برای حملات مهندسی اجتماعی (social engineering) مورد استفاده قرار گیرد. تصور کنید که یک تماس جعلی از “پشتیبانی بانک” دریافت کنید که توسط بدافزار در لیست مخاطبین شما وارد شده است!
یک بهبود کلیدی دیگر، یک جمعآورنده خودکار عبارت بازیابی (seed phrase collector) است که کیف پولهای رمز ارزی را هدف قرار میدهد. بدافزار کروکودیلوس اکنون میتواند عبارتهای بازیابی (seed phrases) و کلیدهای خصوصی را با دقت بیشتری استخراج کند و دادههای از پیش پردازش شده را برای مهاجمان ارسال کند تا به سرعت کنترل حسابها را به دست بگیرند. این قابلیت تهدیدی جدی برای داراییهای دیجیتالی کاربران محسوب میشود.
در همین حال، توسعهدهندگان این بدافزار، دفاعیات کروکودیلوس را از طریق رمزنگاری عمیقتر (deeper obfuscation) تقویت کردهاند. جدیدترین گونه این بدافزار دارای کدهای بستهبندی شده، رمزنگاری XOR اضافی و منطق به عمد پیچیده برای مقاومت در برابر مهندسی معکوس است که کشف و خنثیسازی آن را برای محققان امنیتی دشوارتر میکند.
تحلیلگران MTI همچنین کمپینهای کوچکتری را مشاهده کردهاند که برنامههای استخراج رمز ارز و بانکهای دیجیتال اروپایی را هدف قرار دادهاند. در گزارش آمده است: “همانند نسخه قبلی خود، نسخه جدید کروکودیلوس توجه زیادی به برنامههای کیف پول رمز ارزی دارد. این نسخه مجهز به یک تحلیلگر اضافی شده بود که به استخراج عبارتهای بازیابی و کلیدهای خصوصی کیف پولهای خاص کمک میکند.”
نگرانیهای رو به رشد در مورد بدافزارهای رمز ارزی
در یک گزارش ۲۲ آوریل، شرکت تحلیل و انطباق رمز ارز AMLBot فاش کرد که Crypto Drainers (تخلیهکنندههای رمز ارز)، بدافزارهایی که برای سرقت ارزهای دیجیتال طراحی شدهاند، با تکامل اکوسیستم به سمت مدل کسبوکار “نرمافزار به عنوان سرویس (SaaS)”، دسترسی به آنها آسانتر شده است. این گزارش نشان داد که توزیعکنندگان بدافزار میتوانند یک drainer را با قیمتی ناچیز در حدود ۱۰۰-۳۰۰ تتر (USDT) اجاره کنند. در ۱۹ می نیز، فاش شد که تولیدکننده چاپگر چینی Procolored، بدافزار سرقت بیتکوین را به همراه درایورهای رسمی خود توزیع کرده است. این روند نگرانکننده نشان میدهد که مهاجمان به طور فزایندهای از روشهای جدید و قابل دسترس برای سرقت داراییهای دیجیتال استفاده میکنند.
نظرات کاربران