Un recente rapporto della società di sicurezza informatica Threat Fabric ha rivelato un nuovo ceppo di malware mobile noto come "Crocodilus", che rappresenta una minaccia significativa per utenti Android, utilizzando sovrapposizioni false per ottenere frasi seed crittografiche sensibili. Questo malware può prendere il controllo del dispositivo di un utente e potenzialmente prosciugare completamente i loro portafogli di criptovalute.
Gli analisti di Threat Fabric hanno dettagliato nel loro rapporto del 28 marzo che Crocodilus inganna gli utenti attraverso una sovrapposizione dello schermo che li esorta a eseguire il backup delle chiavi del loro portafoglio crittografico entro un termine specificato. Se l'utente fornisce la propria password, la sovrapposizione presenta un avviso serio: "Esegui il backup della chiave del tuo portafoglio nelle impostazioni entro 12 ore.
Altrimenti, l'app verrà ripristinata e potresti perdere l'accesso al tuo portafoglio." Questa tattica di ingegneria sociale indirizza gli utenti verso la chiave del portafoglio, consentendo al malware di catturare le informazioni cruciali attraverso il suo logger di accessibilità.
Una volta ottenuta la frase seed, gli attaccanti possono prendere il controllo completo del portafoglio. Nonostante sia stata appena scoperta, Crocodilus mostra caratteristiche avanzate tipiche del malware bancario moderno, come attacchi di sovrapposizione, raccolta di dati sofisticata tramite catture dello schermo e controllo remoto del dispositivo.
Threat Fabric osserva che l'infezione iniziale avviene in genere quando gli utenti scaricano inavvertitamente il malware integrato con altro software, che aggira efficacemente le protezioni di sicurezza di Android 13.
Una volta installato, Crocodilus richiama gli utenti ad abilitare i servizi di accessibilità, facilitando l'accesso degli hacker. Dopo aver ottenuto l'accesso, il malware stabilisce una connessione a un server di comando e controllo per ricevere istruzioni, inclusa una lista di applicazioni target e le loro rispettive sovrapposizioni.
Crocodilus funziona continuamente, monitorando l'attività delle app e distribuendo sovrapposizioni per intercettare le credenziali degli utenti. Quando viene aperta un'app bancaria o di criptovaluta mirata, la sovrapposizione fittizia nasconde le attività legittime, consentendo agli hacker di prendere il controllo e silenziare l'audio durante la loro operazione.
Con le informazioni personali e le credenziali rubate, gli attaccanti possono eseguire transazioni fraudolente da remoto senza essere rilevati.
Il team Mobile Threat Intelligence di Threat Fabric ha identificato che il malware attualmente prende di mira gli utenti in Turchia e Spagna, con aspettative di un'ulteriore diffusione in futuro. L'indagine suggerisce che gli sviluppatori potrebbero parlare turco, dato che le annotazioni nel codice e potrebbero essere un attore di minacce noto come Sybra o un altro hacker che sperimenta nuovo software.
L'emergere del Trojan bancario mobile Crocodilus evidenzia un sostanziale salto nella complessità e nel livello di rischio del malware contemporaneo. Le sue capacità di presa di controllo del dispositivo, di controllo remoto e di applicazione di attacchi con sovrapposizione nera indicano un livello di maturità raramente visto in minacce appena scoperte, conclude Threat Fabric.