Um relatório recente da empresa de cibersegurança Threat Fabric revelou uma nova cepa de malware móvel conhecida como "Crocodilus", que representa uma ameaça significativa para os usuários de Android ao usar sobreposições falsas para obter frases seed de criptomoedas sensíveis. Esse malware pode assumir o controle do dispositivo de um usuário e potencialmente esvaziar completamente suas carteiras de criptomoedas.
Analistas da Threat Fabric detalharam em seu relatório de 28 de março que o Crocodilus engana os usuários através de uma sobreposição de tela que os incita a fazer backup das chaves de suas carteiras de criptomoedas até um prazo estipulado. Se o usuário fornecer sua senha, a sobreposição apresenta um aviso alarmante: "Faça backup da chave da sua carteira nas configurações dentro de 12 horas.
Caso contrário, o aplicativo será redefinido, e você poderá perder o acesso à sua carteira." Essa tática de engenharia social direciona os usuários para a chave de frase seed da carteira, permitindo que o malware capture as informações cruciais através do seu registrador de acessibilidade.
Uma vez obtida a frase seed, os atacantes podem assumir o controle total da carteira. Apesar de ser recentemente descoberto, o Crocodilus exibe características avançadas típicas de malwares bancários modernos, como ataques de sobreposição, coleta de dados sofisticada por capturas de tela e controle remoto de dispositivos.
A Threat Fabric observa que a infecção inicial tipicamente ocorre quando os usuários inadvertidamente baixam o malware junto com outros softwares, o que efetivamente contorna as proteções de segurança do Android 13.
Uma vez instalado, o Crocodilus solicita aos usuários para ativar serviços de acessibilidade, o que facilita o acesso dos hackers. Após obter acesso, o malware estabelece uma conexão com um servidor de comando e controle para receber instruções, incluindo uma lista de aplicativos-alvo e suas respectivas sobreposições.
O Crocodilus funciona continuamente, monitorando a atividade de aplicativos e implantando sobreposições para interceptar credenciais de usuários. Quando um aplicativo bancário ou de criptomoeda visado é aberto, a falsa sobreposição oculta a atividade legítima, permitindo que os hackers assumam o controle e silenciem o som durante sua operação.
Com informações pessoais e credenciais roubadas, os atacantes podem realizar transações fraudulentas remotamente sem detecção.
A equipe de Inteligência de Ameaças Móveis da Threat Fabric identificou que o malware atualmente alvo em usuários na Turquia e na Espanha, com expectativas de ampla disseminação no futuro. A investigação sugere que os desenvolvedores podem falar turco, dadas as anotações de código, e podem ser um ator de ameaça conhecido como Sybra ou outro hacker experimentando com novo software.
A emergência do Trojan de banco móvel Crocodilus destaca um salto substancial na complexidade e nível de risco do malware contemporâneo. Suas capacidades de controle de dispositivo, controle remoto, e aplicação de ataques de sobreposição preta indicam um nível de maturidade raramente visto em ameaças recém-descobertas, conclui a Threat Fabric.