Um relatório recente da empresa de cibersegurança Threat Fabric revelou uma nova linhagem de malware para dispositivos móveis chamada "Crocodilus", que representa uma ameaça significativa para usuários de Android ao usar sobreposições falsas para obter frases-semente de criptomoedas sensíveis. Este malware pode assumir o controle do dispositivo do usuário e potencialmente esvaziar completamente suas carteiras de criptomoedas.
Analistas da Threat Fabric detalharam em seu relatório de 28 de março que o Crocodilus engana usuários por meio de uma sobreposição de tela que os instiga a fazer backup de suas chaves de carteira de criptomoedas dentro de um prazo especificado. Se o usuário fornecer sua senha, a sobreposição apresenta um aviso urgente: "Faça backup de sua chave de carteira nas configurações dentro de 12 horas.
Caso contrário, o aplicativo será redefinido e você pode perder o acesso à sua carteira." Essa tática de engenharia social direciona os usuários para a chave de frase-semente da carteira, permitindo ao malware capturar as informações cruciais por meio de seu registrador de acessibilidade.
Uma vez obtida a frase-semente, os atacantes podem assumir controle total da carteira. Apesar de ser recém-descoberto, o Crocodilus apresenta recursos avançados típicos de malware bancário moderno, como ataques de overlay, coleta sofisticada de dados por meio de capturas de tela e controle remoto de dispositivos.
A Threat Fabric observa que a infecção inicial geralmente ocorre quando usuários inadvertidamente baixam o malware empacotado com outros softwares, o que efetivamente contorna as proteções de segurança do Android 13.
Uma vez instalado, o Crocodilus solicita aos usuários habilitar os serviços de acessibilidade, facilitando o acesso dos hackers. Após obter acesso, o malware estabelece conexão com um servidor de comando e controle para receber instruções, incluindo uma lista de aplicativos-alvo e suas sobreposições respectivas.
O Crocodilus funciona continuamente, monitorando a atividade de aplicativos e implantando sobreposições para interceptar credenciais do usuário. Quando um aplicativo bancário ou de criptomoedas direcionado é aberto, a sobreposição falsa encobre a atividade legítima, permitindo que hackers assumam o controle e desativem o som durante a operação.
Com informações pessoais e credenciais roubadas, os atacantes podem realizar transações fraudulentas remotamente sem detecção.
A equipe de Inteligência de Ameaças Móveis da Threat Fabric identificou que o malware atualmente tem como alvo usuários na Turquia e na Espanha, com expectativas de disseminação mais ampla no futuro. A investigação sugere que os desenvolvedores podem falar turco, dados os comentários no código, e pode ser um ator de ameaça conhecido como Sybra ou outro hacker experimentando novo software.
O surgimento do trojan bancário móvel Crocodilus destaca um avanço substancial na complexidade e nível de risco do malware contemporâneo. Suas capacidades de assumir controle do dispositivo, controle remoto e aplicação de ataques de sobreposição preta indicam um nível de maturidade raramente visto em ameaças recém-descobertas, conclui a Threat Fabric.