Come rimuovere il trojan Crocodilus dal vostro dispositivo Android
Scitto da Tomas Meskauskas il
Che tipo di malware è Crocodilus?
Crocodilus è un trojan che colpisce i sistemi operativi Android. Questo malware cerca di rubare le credenziali di accesso, i dati finanziari e i portafogli di criptovalute. Ha capacità RAT (Remote Access Trojan) e può eseguire attacchi in overlay.
Ci sono prove che suggeriscono che gli attori delle minacce che iniziano Crocodilus sono di lingua turca. Questo programma è stato osservato in campagne rivolte a utenti turchi e spagnoli, ma è altamente probabile che l'area di destinazione si espanda fino a comprendere altre regioni.
Panoramica del malware Crocodilus
Al momento dell'installazione, Crocodilus richiede l'autorizzazione al Servizio di accessibilità. I servizi di accessibilità di Android forniscono un aiuto supplementare per l'interazione con il dispositivo agli utenti che ne hanno bisogno; hanno molte capacità, che vanno dalla lettura dello schermo alla simulazione del touchscreen. I programmi dannosi che abusano di questi servizi ottengono tutte le loro funzionalità.
Una volta concessa l'autorizzazione, Crocodilus si connette al suo server C&C (Command and Control). Questo trojan è in grado di aggirare le restrizioni di sicurezza su Android 13 e versioni successive del sistema operativo. Raccoglie i dati rilevanti del dispositivo (compreso un elenco delle applicazioni installate) e invia le informazioni al proprio server C&C. Crocodilus può quindi ricevere comandi e overlay per le applicazioni installate di interesse.
Questo malware può eseguire i seguenti comandi: richiedere i privilegi di amministrazione del dispositivo, attivare/disattivare l'audio, bloccare il dispositivo, implementare misure contro la cancellazione, terminare se stesso, aprire applicazioni specifiche, visualizzare notifiche, ottenere elenchi di contatti, inoltrare telefonate e gestire gli SMS.
Crocodilus può manipolare in vario modo i messaggi di testo, ad esempio impostare se stesso come gestore predefinito degli SMS, inviare SMS a un numero specifico o a tutti i contatti (possibilità di inviare solo un singolo messaggio o un numero elevato) e acquisire il contenuto degli SMS.
Le capacità del trojan di inviare messaggi di testo gli consentono di essere utilizzato come malware Toll Fraud; tuttavia, al momento in cui scriviamo, non è stato utilizzato in questa veste. Poiché questo programma è in grado di inviare SMS in massa, potrebbe essere utilizzato per inviare spam o persino auto-proliferare attraverso le esche inviate nei messaggi di testo.
Crocodilus monitora continuamente le attività del dispositivo e tiene traccia delle applicazioni aperte. Pertanto, quando la vittima ne avvia una per la quale gli aggressori hanno preparato degli overlay, il malware inserisce una schermata di phishing che registra le informazioni inserite (ad esempio, credenziali di accesso, dati personali identificabili, numeri di carte di credito/debito, ecc. In alternativa, Crocodilus stesso può aprire un'applicazione specifica ed eseguire l'attacco in overlay.
Il malware è stato osservato anche utilizzare schermate aggiuntive e non limitarsi a imitazioni di finestre di accesso o di pagamento autentiche. Per approfondire, è stato notato che Crocodilus visualizza un messaggio che indica: "Esegui il backup della chiave del portafoglio nelle impostazioni entro 12 ore. In caso contrario, l'app verrà resettata e potresti perdere l'accesso al tuo portafoglio". - in modo da indurre la vittima a rivelare le credenziali del proprio portafoglio di criptovalute.
Questo programma ha sofisticate capacità di keylogging (registrazione dei tasti); utilizza i servizi di accessibilità per monitorare tutti gli elementi sullo schermo, non solo l'input da tastiera.
Come accennato nell'introduzione, Crocodilus ha funzionalità RAT (Remote Access Trojan). In altre parole, questo malware può consentire l'accesso remoto e il controllo dei dispositivi.
Esiste una certa sovrapposizione tra i suoi comandi standard e quelli del RAT; quelli che sono esclusivi di quest'ultimo includono: l'interazione con l'interfaccia (ad esempio, l'esecuzione di movimenti di scorrimento, la pressione di elementi, il richiamo dei pulsanti "indietro"/"home"/"menu", ecc.), il risveglio del dispositivo, la modifica e la scrittura di testo nelle aree evidenziate e il live-streaming attraverso la fotocamera frontale del dispositivo.
Vale la pena ricordare che gli sviluppatori di malware spesso migliorano il loro software e le loro metodologie. Pertanto, potenziali iterazioni future di Crocodilus potrebbero avere funzioni e caratteristiche aggiuntive/differenti.
In sintesi, la presenza di software come Crocodilus sui dispositivi può causare gravi problemi di privacy, perdite finanziarie e furti di identità.
| Nome | Crocodilus malware |
| Tipo di minaccia | Malware Android, applicazione dannosa, trojan, trojan bancario. |
| Nomi di rilevamento | Avast-Mobile (APK:RepMalware [Trj]), Combo Cleaner (Android.Riskware.Agent.aAZVL), ESET-NOD32 (Android/Spy.Cerberus.DH), Kaspersky (HEUR:Trojan-Banker.AndroidOS.Agent.eq), Elenco completo (VirusTotal) |
| Sintomi | I trojan sono progettati per infiltrarsi furtivamente nel computer della vittima e rimanere silenziosi, pertanto non sono visibili sintomi particolari su un computer infetto. |
| Metodi di distribuzione | Allegati e-mail infetti, pubblicità online dannose, social engineering, applicazioni ingannevoli, siti web truffa. |
| Danni | Furto di informazioni personali (messaggi privati, login/password, ecc.), riduzione delle prestazioni del dispositivo, batteria che si scarica rapidamente, riduzione della velocità di Internet, ingenti perdite di dati, perdite monetarie, furto di identità (le app dannose potrebbero abusare delle app di comunicazione). |
| Rimozione dei malware (Android) | Per eliminare possibili infezioni malware, scansiona il tuo dispositivo mobile con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. |
Esempi di malware per Android
Abbiamo scritto di migliaia di programmi dannosi; PlayPraetor, Marcher e ToxicPanda sono solo un paio dei nostri ultimi articoli sui trojan specifici per Android.
Il termine malware indica un software con un'ampia gamma di funzionalità dannose. Questi programmi possono essere progettati per uno scopo limitato o per un'ampia gamma di applicazioni. Tuttavia, indipendentemente dal modo in cui il malware opera, la sua presenza nel sistema minaccia l'integrità del dispositivo e la sicurezza dell'utente. Pertanto, è essenziale rimuovere tutte le minacce immediatamente dopo il loro rilevamento.
Come si è infiltrato Crocodilus nel mio dispositivo?
Il malware prolifera principalmente utilizzando tattiche di phishing e social engineering. Spesso viene camuffato o fornito in bundle con normali programmi/file multimediali.
I metodi di distribuzione più diffusi includono: download drive-by (furtivi/ingannevoli), canali di download non affidabili (ad esempio, siti di hosting di file freeware e gratuiti, reti di condivisione P2P, app store di terze parti, ecc.), malvertising, allegati/link dannosi nella posta spam (ad esempio, e-mail, SMS, PM/DM, ecc.), truffe online, strumenti illegali di attivazione del software ("crack") e falsi aggiornamenti.
Inoltre, alcuni programmi dannosi possono diffondersi autonomamente attraverso le reti locali e i dispositivi di archiviazione rimovibili (ad esempio, dischi rigidi esterni, chiavette USB, ecc.).
Come evitare l'installazione di malware?
Si consiglia di effettuare ricerche sul software leggendo le condizioni e le recensioni degli utenti/esperti, controllando le autorizzazioni necessarie e verificando la legittimità dello sviluppatore. Tutti i download devono essere effettuati da fonti ufficiali e verificate. Un'altra raccomandazione è quella di attivare e aggiornare i programmi utilizzando funzioni/strumenti forniti da sviluppatori autentici, poiché quelli ottenuti da terze parti potrebbero contenere malware.
Inoltre, le e-mail e gli altri messaggi in arrivo devono essere affrontati con cautela. Gli allegati o i link trovati in messaggi sospetti/irrilevanti non devono essere aperti, perché possono essere infettivi. È essenziale essere vigili durante la navigazione, poiché Internet è pieno di contenuti ingannevoli e dannosi.
Dobbiamo sottolineare l'importanza di avere un antivirus affidabile installato e mantenuto aggiornato. Il software di sicurezza deve essere utilizzato per eseguire scansioni regolari del sistema e per rimuovere minacce e problemi.
Crocodilus trojan che richiede l'autorizzazione Accessibly Service (fonte immagine - ThreatFabric):
Esempio di overlay visualizzato dal trojan Crocodilus (fonte: ThreatFabric):
Menu rapido:
- Introduzione
- Come eliminare la cronologia di navigazione dal browser Chrome?
- Come disattivare le notifiche del browser nel browser web Chrome?
- Come resettare il browser Chrome?
- Come cancellare la cronologia di navigazione dal browser web Firefox?
- Come disattivare le notifiche del browser Firefox?
- Come resettare il browser web Firefox?
- Come disinstallare le applicazioni potenzialmente indesiderate e/o dannose?
- Come avviare il dispositivo Android in "modalità provvisoria"?
- Come controllare l'utilizzo della batteria di varie applicazioni?
- Come controllare l'utilizzo dei dati delle varie applicazioni?
- Come installare gli ultimi aggiornamenti software?
- Come ripristinare lo stato di default del sistema?
- Come disattivare le applicazioni con privilegi di amministratore?
Eliminare la cronologia di navigazione dal browser Chrome:
Toccate il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionate "Cronologia" nel menu a discesa aperto.
Toccare "Cancella dati di navigazione", selezionare la scheda "AVANZATE", scegliere l'intervallo di tempo e i tipi di dati che si desidera eliminare e toccare "Cancella dati".
Disattivare le notifiche del browser nel browser Chrome:
Toccate il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionate "Impostazioni" nel menu a discesa aperto.
Scorrere verso il basso fino a visualizzare l'opzione "Impostazioni del sito" e toccarla. Scorrete verso il basso fino a visualizzare l'opzione "Notifiche" e toccatela.
Individuate i siti Web che forniscono notifiche del browser, toccateli e fate clic su "Cancella e ripristina". In questo modo verranno rimosse le autorizzazioni concesse a questi siti web per l'invio di notifiche. Tuttavia, una volta visitato nuovamente lo stesso sito, questo potrebbe richiedere nuovamente un'autorizzazione. Potete scegliere se concedere o meno questi permessi (se scegliete di rifiutarli, il sito passerà alla sezione "Bloccato" e non vi chiederà più l'autorizzazione).
Ripristinare il browser Chrome:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere verso il basso fino a trovare l'applicazione "Chrome", selezionarla e toccare l'opzione "Archiviazione".
Toccate "GESTIONE MEMORIZZAZIONE", quindi "CANCELLA TUTTI I DATI" e confermate l'operazione toccando "OK". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete inoltre effettuare nuovamente il login in tutti i siti web.
Cancellare la cronologia di navigazione dal browser Firefox:
Toccare il pulsante "Menu" (tre puntini nell'angolo superiore destro dello schermo) e selezionare "Cronologia" nel menu a discesa aperto.
Scorrere verso il basso fino a visualizzare "Cancella dati privati" e toccarlo. Selezionate i tipi di dati che desiderate rimuovere e toccate "Cancella dati".
Disattivare le notifiche del browser nel browser Firefox:
Visitare il sito web che invia le notifiche del browser, toccare l'icona visualizzata a sinistra della barra degli URL (l'icona non sarà necessariamente un "lucchetto") e selezionare "Modifica impostazioni del sito".
Nel pop-up aperto, selezionare l'opzione "Notifiche" e toccare "CANCELLA".
Ripristinare il browser web Firefox:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere verso il basso fino a trovare l'applicazione "Firefox", selezionarla e toccare l'opzione "Memoria".
Toccare "CANCELLA DATI" e confermare l'azione toccando "CANCELLA". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete inoltre effettuare nuovamente l'accesso a tutti i siti web.
Disinstallare le applicazioni potenzialmente indesiderate e/o dannose:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere fino a individuare un'applicazione potenzialmente indesiderata e/o dannosa, selezionarla e toccare "Disinstalla". Se, per qualche motivo, non si riesce a rimuovere l'applicazione selezionata (ad esempio, viene visualizzato un messaggio di errore), si dovrebbe provare a utilizzare la "Modalità provvisoria".
Avviare il dispositivo Android in "modalità provvisoria":
La "modalità provvisoria" del sistema operativo Android disabilita temporaneamente l'esecuzione di tutte le applicazioni di terze parti. L'uso di questa modalità è un buon modo per diagnosticare e risolvere vari problemi (ad esempio, rimuovere le applicazioni dannose che impediscono agli utenti di farlo quando il dispositivo funziona "normalmente").
Premete il pulsante "Power" e tenetelo premuto finché non appare la schermata "Power off". Toccare l'icona "Spegnimento" e tenerla premuta. Dopo qualche secondo apparirà l'opzione "Modalità provvisoria" e sarà possibile eseguirla riavviando il dispositivo.
Controllare l'utilizzo della batteria delle varie applicazioni:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Manutenzione del dispositivo" e toccarlo.
Toccare "Batteria" e controllare l'utilizzo di ogni applicazione. Le applicazioni legittime/genuino sono progettate per utilizzare il minor consumo possibile di energia, al fine di fornire la migliore esperienza utente e risparmiare energia. Pertanto, un utilizzo elevato della batteria può indicare che l'applicazione è dannosa.
Controllare l'utilizzo dei dati delle varie applicazioni:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Connessioni" e toccarlo.
Scorrere fino a visualizzare "Utilizzo dati" e selezionare questa opzione. Come per la batteria, le applicazioni legittime/genuini sono progettate per ridurre al minimo l'utilizzo dei dati. Ciò significa che un utilizzo massiccio di dati può indicare la presenza di un'applicazione dannosa. Si noti che alcune applicazioni dannose potrebbero essere progettate per funzionare solo quando il dispositivo è connesso alla rete wireless. Per questo motivo, è necessario controllare l'utilizzo dei dati sia da rete mobile che da rete Wi-Fi.
Se trovate un'applicazione che consuma molti dati anche se non la usate mai, vi consigliamo vivamente di disinstallarla il prima possibile.
Installare gli ultimi aggiornamenti del software:
Mantenere il software aggiornato è una buona pratica quando si tratta di sicurezza del dispositivo. I produttori di dispositivi rilasciano continuamente varie patch di sicurezza e aggiornamenti Android per risolvere errori e bug che possono essere sfruttati dai criminali informatici. Un sistema non aggiornato è molto più vulnerabile, per questo motivo bisogna sempre assicurarsi che il software del dispositivo sia aggiornato.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Aggiornamento software" e toccarlo.
Toccare "Scarica gli aggiornamenti manualmente" e verificare se sono disponibili aggiornamenti. In caso affermativo, installateli immediatamente. Si consiglia inoltre di attivare l'opzione "Scarica automaticamente gli aggiornamenti", che consentirà al sistema di notificare il rilascio di un aggiornamento e/o di installarlo automaticamente.
Ripristinare lo stato di default del sistema:
L'esecuzione di un "Reset di fabbrica" è un buon modo per rimuovere tutte le applicazioni indesiderate, ripristinare le impostazioni predefinite del sistema e pulire il dispositivo in generale. Tuttavia, è necessario tenere presente che tutti i dati presenti nel dispositivo verranno eliminati, comprese le foto, i file video/audio, i numeri di telefono (memorizzati nel dispositivo, non nella scheda SIM), i messaggi SMS e così via. In altre parole, il dispositivo verrà riportato allo stato primordiale.
È anche possibile ripristinare le impostazioni di base del sistema e/o semplicemente le impostazioni di rete.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Informazioni sul telefono" e toccarlo.
Scorrete verso il basso fino a visualizzare "Ripristino" e toccatelo. Ora scegliete l'azione che desiderate eseguire:
"Ripristina impostazioni" - ripristina tutte le impostazioni di sistema ai valori predefiniti;
"Ripristina impostazioni di rete" - ripristina tutte le impostazioni relative alla rete ai valori predefiniti;
"Ripristino dati di fabbrica" - ripristina l'intero sistema e cancella completamente tutti i dati memorizzati;
Disattivate le applicazioni che hanno privilegi di amministratore:
Se un'applicazione dannosa ottiene i privilegi di amministratore, può danneggiare seriamente il sistema. Per mantenere il dispositivo il più sicuro possibile, si dovrebbe sempre controllare quali applicazioni hanno tali privilegi e disabilitare quelle che non dovrebbero.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Schermata di blocco e sicurezza" e toccarlo.
Scorrere verso il basso fino a visualizzare "Altre impostazioni di sicurezza", toccarlo e quindi toccare "Applicazioni di amministrazione del dispositivo".
Identificare le applicazioni che non devono avere privilegi di amministratore, toccarle e quindi toccare "DISATTIVA".
Domande frequenti (FAQ)
Il mio dispositivo Android è stato infettato dal malware Crocodilus, devo formattare il dispositivo di archiviazione per eliminarlo?
La rimozione del malware raramente richiede la formattazione.
Quali sono i maggiori problemi che il malware Crocodilus può causare?
I pericoli posti da un'infezione dipendono dalle capacità del programma maligno e dal modus operandi dei criminali informatici. Crocodilus è in grado di accedere/controllare i dispositivi da remoto e prende di mira le informazioni relative alla finanza. In genere, infezioni di questo tipo possono portare a gravi problemi di privacy, perdite finanziarie e furti di identità.
Qual è lo scopo del malware Crocodilus?
Il malware viene utilizzato principalmente per generare profitti. Tuttavia, i criminali informatici possono utilizzare il software dannoso anche per divertirsi, portare avanti vendette personali, impegnarsi nell'hacktivismo, interrompere processi (ad esempio, siti web, servizi, aziende, ecc.) e lanciare attacchi a sfondo politico/geopolitico.
Come si è infiltrato il malware Crocodilus nel mio dispositivo Android?
Il malware si diffonde principalmente tramite download drive-by, e-mail di spam, truffe online, malvertising, fonti di download sospette (ad esempio, siti di file-hosting non ufficiali e gratuiti, reti di condivisione P2P, app store di terze parti e così via), falsi programmi di aggiornamento e strumenti illegali di attivazione del software ("cracking"). Alcuni programmi dannosi possono auto-proliferare attraverso reti locali e dispositivi di archiviazione rimovibili.
Combo Cleaner mi proteggerà dal malware?
Combo Cleaner è in grado di rilevare e rimuovere praticamente tutte le infezioni da malware conosciute. Va sottolineato che l'esecuzione di una scansione completa del sistema è fondamentale, poiché i programmi maligni più sofisticati tendono a nascondersi in profondità nei sistemi.
Eccezionale!
▼ Mostra Discussione