- كروكو ديلاس يسيء استخدام خدمات الوصول في أندرويد لقراءة عبارات الاسترداد، وتسجيل ضغطات المفاتيح، وبدء عمليات التحويل بعد فتح الجهاز بواسطة البيانات البيومترية
- ظهر البرمجية الخبيثة لأول مرة في تركيا في مارس 2025 وتوسعت بسرعة إلى أوروبا وأمريكا الجنوبية والهند وإندونيسيا بحلول منتصف 2025
- يتم التوزيع من خلال إعلانات خبيثة، وتطبيقات محفظة مزيفة، وصفحات تحديث متصفح مقلدة تقدم مكافآت أو علاوات
كروكو ديلاس، عائلة برمجيات خبيثة لأندرويد تم تحديدها لأول مرة في مارس 2025، تطورت لاستهداف محافظ العملات الرقمية من خلال استغلال أذونات النظام للحصول على السيطرة التشغيلية الكاملة على الأجهزة المصابة. يمكن لنسخ البرمجية الخبيثة الأخيرة سرقة عبارات الاسترداد، وتنفيذ إجراءات عن بُعد، وتفريغ الأصول مباشرة من تطبيقات المحافظ على الهواتف المحمولة.
تعمل البرمجية الخبيثة من خلال استغلال خدمات الوصول في أندرويد وأذونات التراكب لقراءة النصوص على الشاشة، ومراقبة واجهات التطبيقات، وتسجيل ضغطات المفاتيح، واعتراض كلمات المرور لمرة واحدة من أدوات المصادقة، وفقًا لـ 1inch. ومع وحدتها للوصول عن بُعد، يمكن للمهاجمين تشغيل الهواتف المخترقة كما لو كانوا يحملونها يدويًا.
التحكم عن بُعد يتيح سرقة الأصول بعد الفتح
بمجرد أن يتم فتح المحفظة بأي طريقة، بما في ذلك البيانات البيومترية، يمكن لكروكو ديلاس فتح التطبيقات، والتنقل في الواجهات، وبدء عمليات التحويل دون تدخل المستخدم. تعرض بعض النسخ مطالبات وهمية لنسخ احتياطي للمحفظة مصممة لتقليد الواجهات الشرعية بشكل دقيق، مما يخدع المستخدمين لإعادة إدخال عبارات الاسترداد الخاصة بهم. عند إدخالها على جهاز مصاب، يتلقى المهاجمون البيانات على الفور ويكتسبون السيطرة الدائمة على الأصول.
طورت البرمجية الخبيثة قدرات متقدمة في الهندسة الاجتماعية. تخلق بعض النسخ جهات اتصال دعم وهمية تحاكي مزودي المحافظ أو البورصات. إذا لاحظ الضحية نشاطًا غير معتاد وحاول التواصل مع الدعم، فقد يصل بشكل غير مقصود إلى المهاجم، الذي يقوم بعد ذلك بالتلاعب بهم للكشف عن معلومات حساسة إضافية أو الموافقة على إجراءات خبيثة.
توسع عالمي سريع منذ اكتشاف مارس
ظهرت كروكو ديلاس لأول مرة في تركيا خلال حملات اختبارية في مارس 2025. خلال أسابيع، توسعت العمليات إلى إسبانيا وبولندا، وبحلول منتصف 2025، كانت البرمجية الخبيثة نشطة عبر أجزاء من أمريكا الجنوبية والهند وإندونيسيا ومناطق معزولة في الولايات المتحدة، وفقًا لـ ThreatFabric.
تنتشر البرمجية الخبيثة بشكل رئيسي من خلال إعلانات خبيثة، بما في ذلك تلك الموجودة على فيسبوك. في بولندا، تم عرض إعلانات تحاكي منصات البنوك والتجارة الإلكترونية أكثر من 1000 مرة خلال ساعة إلى ساعتين، مستهدفة المستخدمين فوق سن 35 عامًا. تشمل طرق التوزيع الإضافية تطبيقات محفظة مزيفة وصفحات تحميل مقلدة تظهر كتحديثات للمتصفح أو أدوات العملات الرقمية.
يوصي خبراء الأمن بعدم فتح ملفات APK غير معروفة ومراجعة التطبيقات التي تمتلك أذونات خدمة الوصول. لا تتطلب تطبيقات المحافظ الشرعية، أو البورصات، أو أدوات المصادقة وصولاً كاملاً. يجب على المستخدمين عدم إعادة إدخال عبارات الاسترداد على الأجهزة المحمولة إلا عند إجراء استرداد شرعي، حيث تشير المطالبات غير المتوقعة عادةً إلى عملية احتيال. إذا اشتبه في الإصابة، يجب على المستخدمين فصل الجهاز على الفور ونقل الأصول المتبقية إلى بيئة نظيفة أو محفظة أجهزة.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
