Ein aktueller Bericht der Cybersicherheitsfirma Threat Fabric hat einen neuen Stamm mobiler Malware namens "Crocodilus" enthüllt, der eine erhebliche Bedrohung für Android-Nutzer darstellt, indem er gefälschte Overlays verwendet, um sensible Krypto-Seed-Phrasen zu erhalten. Diese Malware kann die Kontrolle über das Gerät eines Nutzers übernehmen und ihre Krypto-Wallets möglicherweise vollständig leeren.
Threat-Fabric-Analysten erläuterten in ihrem Bericht vom 28. März, dass Crocodilus Nutzer durch ein Bildschirm-Overlay täuscht, das sie auffordert, ihre Krypto-Wallet-Schlüssel bis zu einer bestimmten Frist zu sichern. Wenn der Nutzer sein Passwort eingibt, zeigt das Overlay eine warnende Nachricht: "Sichern Sie Ihren Wallet-Schlüssel innerhalb von 12 Stunden in den Einstellungen. Andernfalls wird die App zurückgesetzt, und Sie verlieren möglicherweise den Zugriff auf Ihr Wallet." Diese Social-Engineering-Taktik leitet Nutzer zu ihrem Seed-Phrase-Wallet-Schlüssel, was der Malware ermöglicht, die entscheidenden Informationen durch den Barrierefreiheits-Protokollierer zu erfassen.
Sobald die Seed-Phrase erlangt ist, können Angreifer die volle Kontrolle über das Wallet übernehmen. Obwohl kürzlich entdeckt, zeigt Crocodilus fortschrittliche Funktionen, die typisch für moderne Banken-Malware sind, wie Overlay-Angriffe, anspruchsvolle Datenerfassung durch Bildschirmaufnahmen und Fernsteuerung von Geräten.
Threat Fabric stellt fest, dass eine anfängliche Infektion normalerweise auftritt, wenn Nutzer die Malware versehentlich zusammen mit anderer Software herunterladen, was die Sicherheitsvorkehrungen von Android 13 effektiv umgeht.
Einmal installiert, fordert Crocodilus die Nutzer auf, Barrierefreiheitsdienste zu aktivieren, was den Hackern den Zugang erleichtert. Nach Erhalt des Zugangs stellt die Malware eine Verbindung zu einem Kommand- und Kontroll-Server her, um Anweisungen zu erhalten, einschließlich einer Liste von Zielanwendungen und deren entsprechenden Overlays.
Crocodilus läuft kontinuierlich, überwacht die App-Aktivität und setzt Overlays ein, um Benutzerauthentifizierungsdaten abzufangen. Wenn eine zielgerichtete Bank- oder Krypto-App geöffnet wird, verdeckt das gefälschte Overlay legitime Aktivitäten, sodass Hacker die Kontrolle übernehmen und den Ton während ihrer Operationen stumm schalten können.
Mit gestohlenen persönlichen Informationen und Anmeldedaten können Angreifer betrügerische Transaktionen aus der Ferne durchführen, ohne erkannt zu werden.
Threat Fabric's Mobile Threat Intelligence Team identifizierte, dass die Malware derzeit Nutzer in der Türkei und Spanien angreift, es aber erwartet wird, dass sie in Zukunft weiter verbreitet wird. Die Untersuchung deutet darauf hin, dass die Entwickler Türkisch sprechen könnten, aufgrund von Code-Anmerkungen, und es könnte sich um einen Bedrohungsakteur namens Sybra oder einen anderen Hacker handeln, der mit neuer Software experimentiert.
Das Auftauchen des mobilen Bank-Trojaners Crocodilus markiert einen erheblichen Sprung in der Komplexität und dem Risikolevel moderner Malware. Seine Fähigkeiten zur Geräteübernahme, Fernsteuerung und die Anwendung von Black-Overlay-Angriffen weisen auf ein bereits ausgereiftes Level hin, das selten bei neu entdeckten Bedrohungen vorkommt, schließt Threat Fabric.