Een recent rapport van cybersecuritybedrijf Threat Fabric heeft een nieuwe stam van mobiele malware onthuld, bekend als "Crocodilus," die een aanzienlijke bedreiging vormt voor Android-gebruikers door nep-overlay's te gebruiken om gevoelige cryptovaluta-herstelzinnen te verkrijgen. Deze malware kan controle over een apparaat krijgen en mogelijk hun cryptowallets volledig leegtrekken.
Threat Fabric-analisten details in hun rapport van 28 maart dat Crocodilus gebruikers misleidt door een scherm-overlay die hen aanspoort hun crypto-wallet-sleutels voor een bepaalde deadline te back-uppen. Als de gebruiker hun wachtwoord verstrekt, geeft de overlay een ernstige waarschuwing: "Back-up je wallet-sleutel in de instellingen binnen 12 uur.
Anders wordt de app gereset en kun je de toegang tot je wallet verliezen." Deze sociale engineering tactiek leidt gebruikers naar hun herstelzin-wallet-sleutel, waardoor de malware de cruciale informatie kan vastleggen via zijn toegankelijkheidslogger.
Zodra de herstelzin is verkregen, kunnen aanvallers volledige controle over de wallet verkrijgen. Ondanks dat het nieuw is ontdekt, toont Crocodilus geavanceerde functies die typisch zijn voor moderne bankmalware, zoals overlay-aanvallen, geavanceerde gegevensverzameling via schermafbeeldingen en afstandsbediening van apparaten.
Threat Fabric merkt op dat de eerste besmetting meestal plaatsvindt wanneer gebruikers onbedoeld de malware gedownload bundelen met andere software, wat effectief de beveiligingsbeschermingen van Android 13 omzeilt.
Eenmaal geïnstalleerd, spoort Crocodilus gebruikers aan om toegankelijkheidsdiensten in te schakelen, wat de hackers' toegang vergemakkelijkt. Na het verkrijgen van toegang, vestigt de malware een verbinding met een command-and-control server om instructies te ontvangen, inclusief een lijst van doelapplicaties en hun respectieve overlays.
Crocodilus draait continu, monitoren van app-activiteit en inzetten van overlays om gebruikersgegevens te onderscheppen. Wanneer een gerichte bank- of cryptovaluta-app wordt geopend, verbergt de nep-overlay legitieme activiteit, wat hackers toestaat de controle over te nemen en geluid te dempen tijdens hun operatie.
Met gestolen persoonlijke informatie en inloggegevens, kunnen aanvallers op afstand frauduleuze transacties uitvoeren zonder detectie.
Threat Fabric's Mobile Threat Intelligence team identificeerde dat de malware op dit moment gebruikers in Turkije en Spanje bedreigt, met de verwachting van bredere verspreiding in de toekomst. Het onderzoek suggereert dat de ontwikkelaars mogelijk Turks spreken, gezien de code-aantekeningen, en een dreigingsactor zouden kunnen zijn bekend als Sybra of een andere hacker die experimenteert met nieuwe software.
De opkomst van de Crocodilus mobiele banktrojan benadrukt een aanzienlijke sprong in de complexiteit en risiconiveau van hedendaagse malware. Zijn capaciteiten voor apparaatovernames, afstandsbediening en de toepassing van zwarte overlay-aanvallen wijzen op een volwassenheidsniveau dat zelden wordt gezien in nieuw ontdekte dreigingen, concludeert Threat Fabric.