Niedawny raport firmy bezpieczeństwa cybernetycznego Threat Fabric ujawnił nowy szczep złośliwego oprogramowania mobilnego znany jako „Crocodilus”, który stanowi znaczące zagrożenie dla użytkowników Androida, stosując fałszywe nakładki do uzyskania wrażliwych fraz zrębu kryptowalutowego. To złośliwe oprogramowanie może przejąć kontrolę nad urządzeniem użytkownika i potencjalnie całkowicie opróżnić ich portfele kryptowalutowe.
Analitycy Threat Fabric szczegółowo opisali w swoim raporcie z 28 marca, że Crocodilus oszukuje użytkowników poprzez nakładkę na ekranie, która nakłania ich do utworzenia kopii zapasowej kluczy portfela kryptowalutowego w wyznaczonym terminie. Jeśli użytkownik poda swoje hasło, nakładka pokazuje straszne ostrzeżenie: „Utwórz kopię zapasową klucza portfela w ustawieniach w ciągu 12 godzin.
W przeciwnym razie aplikacja zostanie zresetowana i możesz stracić dostęp do portfela.” Ta taktyka inżynierii społecznej kieruje użytkowników do klucza portfela zrębu, co pozwala złośliwemu oprogramowaniu na przechwycenie kluczowych informacji za pomocą swojego rejestratora dostępności.
Po uzyskaniu frazy zrębu, atakujący mogą przejąć pełną kontrolę nad portfelem. Mimo że Crocodilus został niedawno odkryty, demonstruje zaawansowane funkcje typowe dla nowoczesnych złośliwych oprogramowań bankowych, takie jak ataki nakładowe, zaawansowane zbieranie danych poprzez zrzuty ekranu oraz zdalne sterowanie urządzeniem.
Threat Fabric zauważa, że początkowa infekcja zazwyczaj występuje, gdy użytkownicy nieświadomie pobierają złośliwe oprogramowanie z innym oprogramowaniem, co skutecznie omija zabezpieczenia Android 13.
Po zainstalowaniu Crocodilus zachęca użytkowników do włączenia usług dostępności, co ułatwia hakerom dostęp. Po uzyskaniu dostępu złośliwe oprogramowanie ustanawia połączenie z serwerem dowodzenia i kontroli, aby otrzymać instrukcje, w tym listę aplikacji docelowych i ich odpowiednich nakładek.
Crocodilus działa nieprzerwanie, monitorując aktywność aplikacji i wdrażając nakładki do przechwytywania poświadczeń użytkowników. Gdy otwarta zostanie docelowa aplikacja bankowa lub kryptowalutowa, fałszywa nakładka ukrywa legalną aktywność, pozwalając hakerom przejąć kontrolę i wyciszyć dźwięk podczas ich operacji.
Ze skradzionymi danymi osobowymi i poświadczeniami atakujący mogą zdalnie wykonywać transakcje oszukańcze bez wykrycia.
Zespół Mobile Threat Intelligence firmy Threat Fabric zidentyfikował, że złośliwe oprogramowanie obecnie atakuje użytkowników w Turcji i Hiszpanii, z oczekiwaniami na szersze rozpowszechnienie w przyszłości. Dochodzenie sugeruje, że rozwijający mogą mówić po turecku, biorąc pod uwagę adnotacje kodu, i mogą być aktorem zagrożenia znanym jako Sybra lub innym hakerem eksperymentującym z nowym oprogramowaniem.
Pojawienie się mobilnego trojana bankowego Crocodilus podkreśla znaczący postęp w złożoności i poziomie ryzyka współczesnych złośliwych oprogramowań. Jego zdolności do przejęcia urządzenia, zdalnego sterowania oraz zastosowania czarnych ataków nakładowych wskazują na poziom dojrzałości rzadko spotykany w nowo odkrytych zagrożeniach, konkluduje Threat Fabric.