サイバーセキュリティ企業 Threat Fabric による最近の報告では、 「Crocodilus」として知られるモバイルマルウェアの新種が明らかにされました。 これは偽のオーバーレイを用いて Android ユーザーから機密の暗号通貨シード フレーズを取得する重要な脅威 を提起します。このマルウェアはユーザーのデバイスを制御し、 暗号ウォレットを完全に奪う可能性があります。
Threat Fabric アナリストは、 3 月 28 日の報告書 で、Crocodilus がユーザーを画面オーバーレイを通じて騙し、 指定された締切までに暗号ウォレットキーをバックアップするよう促す仕組みを 詳細に説明しました。ユーザーがパスワードを提供すると、 オーバーレイは厳しい警告を表示します: 「12 時間以内に設定でウォレットキーをバックアップしてください。
さもなければ、アプリはリセットされ、ウォレットへのアクセスが 失われる可能性があります。」この社会工学的手法はユーザーを シードフレーズウォレットキーに誘導し、マルウェアがアクセス ロガーを通じて重要な情報をキャプチャできるようにします。
シードフレーズが取得されると、攻撃者はウォレットを完全に制御できます。 新たに発見されたばかりであるにもかかわらず、Crocodilus は オーバーレイ攻撃、画面キャプチャを通じた洗練されたデータ収集、 リモートデバイス制御など、現代の銀行マルウェアに特有の高度な機能を備えています。
Threat Fabric は、感染は通常、ユーザーが他のソフトウェアにバンドルされた マルウェアを意図せずにダウンロードする際に発生し、 Android 13 のセキュリティ保護を巧みに回避すると指摘しています。
インストール後、Crocodilus はユーザーにアクセスIBILITY サービスの有効化を促し、ハッカーのアクセスを容易にします。 アクセスを得ると、マルウェアはコマンドアンド コントロールサーバーに接続し、ターゲットアプリケーション とそのオーバーレイのリストを含む指示を受信します。
Crocodilus は継続的に稼働し、アプリの活動を監視し、 ユーザーの資格情報を傍受するためにオーバーレイをデプロイします。 ターゲットとなる銀行または暗号通貨アプリが開かれると、 偽のオーバーレイが正当な活動を隠し、 ハッカーが制御を奪いオペレーション中に音を消すことを可能にします。
個人情報と資格情報が盗まれると、攻撃者は不正取引をリモートで 実行でき、検出されることはありません。
Threat Fabric のモバイル脅威インテリジェンスチームは、 現在、マルウェアが主にトルコとスペインのユーザーをターゲットとしていることを確認し、 将来的には幅広く拡散することが期待されています。 調査では、コードのコメントから開発者がトルコ語を話す可能性があり、 Sybra として知られる脅威アクターまたは新しいソフトウェアを 試す他のハッカーである可能性が示唆されています。
Crocodilus のモバイルバンキングトロイの木馬の出現は、 現代のマルウェアの複雑さとリスクレベルにおける 大きな飛躍を示しており、デバイス乗っ取り、リモート制御、 および偽のオーバーレイ攻撃の適用に対する 稀な成熟度を示すと Threat Fabric は結論付けています。