Laporan terbaru oleh firma keamanan siber Threat Fabric telah mengungkapkan jenis malware seluler baru yang dikenal sebagai "Crocodilus," yang menimbulkan ancaman signifikan terhadap pengguna Android dengan menggunakan overlay palsu untuk mendapatkan frasa benih cryptocurrency sensitif. Malware ini dapat mengambil alih perangkat pengguna dan berpotensi menguras dompet kripto mereka sepenuhnya.
Analis Threat Fabric merinci dalam laporan mereka pada 28 Maret bahwa Crocodilus menipu pengguna melalui overlay layar yang mendesak mereka untuk mencadangkan kunci dompet kripto mereka pada batas waktu yang ditentukan. Jika pengguna memberikan kata sandi mereka, overlay menampilkan peringatan serius: "Cadangkan kunci dompet Anda di pengaturan dalam waktu 12 jam.
Jika tidak, aplikasi akan diatur ulang, dan Anda mungkin kehilangan akses ke dompet Anda." Taktik rekayasa sosial ini mengarahkan pengguna menuju kunci frasa benih dompet mereka, memungkinkan malware untuk menangkap informasi penting melalui logger aksesibilitasnya.
Setelah frasa benih diperoleh, penyerang dapat menguasai penuh dompet tersebut. Meskipun baru ditemukan, Crocodilus menampilkan fitur canggih yang khas dari malware perbankan modern, seperti serangan overlay, pengumpulan data canggih melalui tangkapan layar, dan kontrol perangkat jarak jauh.
Threat Fabric mencatat bahwa infeksi awal biasanya terjadi ketika pengguna secara tidak sadar mengunduh malware yang dibundel dengan perangkat lunak lain, yang efektif menghindari perlindungan keamanan Android 13.
Setelah terinstal, Crocodilus meminta pengguna untuk mengaktifkan layanan aksesibilitas, yang memfasilitasi akses peretas. Setelah memperoleh akses, malware menjalin koneksi ke server perintah-dan-kontrol untuk menerima instruksi, termasuk daftar aplikasi target dan overlay masing-masing.
Crocodilus berjalan terus-menerus, memantau aktivitas aplikasi dan menerapkan overlay untuk mencegat kredensial pengguna. Ketika aplikasi perbankan atau cryptocurrency yang ditargetkan dibuka, overlay palsu menyembunyikan aktivitas yang sah, memungkinkan peretas mengambil kendali dan mematikan suara selama operasi mereka.
Dengan informasi pribadi dan kredensial yang dicuri, penyerang dapat melakukan transaksi penipuan dari jarak jauh tanpa terdeteksi.
Tim Mobile Threat Intelligence Threat Fabric mengidentifikasi bahwa malware saat ini menargetkan pengguna di Turki dan Spanyol, dengan ekspektasi penyebaran yang lebih luas di masa depan. Penyelidikan menunjukkan bahwa pengembang mungkin berbicara bahasa Turki, mengingat anotasi kode, dan bisa menjadi aktor ancaman yang dikenal sebagai Sybra atau peretas lain yang bereksperimen dengan perangkat lunak baru.
Kemunculan Trojan perbankan seluler Crocodilus menyoroti lompatan substansial dalam kompleksitas dan tingkat risiko malware kontemporer. Kemampuannya untuk mengambil alih perangkat, mengendalikan jarak jauh, dan menerapkan serangan overlay hitam menunjukkan tingkat kematangan yang jarang terlihat dalam ancaman yang baru ditemukan, menurut kesimpulan Threat Fabric.