В недавнем отчете компании по кибербезопасности Threat Fabric выявлен новый вид мобильного вредоносного ПО под названием «Crocodilus», который представляет значительную угрозу для пользователей Android, применяя поддельные накладки для получения важных фраз восстановления криптовалют. Это вредоносное ПО может брать под контроль устройство пользователя и потенциально полностью опустошать их криптокошельки.
Аналитики Threat Fabric подробно описали в своем отчете от 28 марта, что Crocodilus обманывает пользователей с помощью накладки на экран, которая призывает их сделать резервную копию ключей криптокошелька в установленные сроки. Если пользователь предоставляет свой пароль, накладка представляет серьезное предупреждение: «Сделайте резервную копию ключа вашего кошелька в настройках в течение 12 часов.
В противном случае приложение будет сброшено, и вы можете потерять доступ к своему кошельку.» Эта социальная инженерия направляет пользователей к их ключу фразы восстановления, позволяя вредоносному ПО захватить эту важную информацию через регистратор доступности.
После получения фразы восстановления злоумышленники могут получить полный контроль над кошельком. Несмотря на то, что Crocodilus был обнаружен недавно, он демонстрирует передовые возможности, типичные для современного банковского вредоносного ПО, такие как атаки накладками, сложная сбор данных с помощью скриншотов и удаленного управления устройством.
Threat Fabric отмечает, что начальное заражение происходит, как правило, когда пользователи случайно скачивают вредоносное ПО, совмещенное с другим программным обеспечением, что эффективно обходит защиту Android 13.
После установки Crocodilus предлагает пользователям включить службы доступности, что облегчает доступ хакеров. Получив доступ, вредоносное ПО устанавливает соединение с командным сервером для получения инструкций, включая список целевых приложений и их соответствующих накладок.
Crocodilus работает непрерывно, отслеживая активность приложений и размещая накладки для перехвата пользовательских учетных данных. Когда открывается целевое банковское или криптовалютное приложение, поддельная накладка скрывает легитимную активность, позволяя хакерам взять под контроль и приглушить звук во время операции.
Имея украденные личные данные и учетные записи, злоумышленники могут совершать мошеннические транзакции удаленно без обнаружения.
Мобильная команда по разведке угроз Threat Fabric выявила, что в настоящее время вредоносное ПО нацелено на пользователей в Турции и Испании, с ожиданием более широкого распространения в будущем. Расследование предполагает, что разработчики могут говорить на турецком языке, учитывая аннотации в коде, и, возможно, это хорошо известный действующий злоумышленник или другой хакер, экспериментирующий с новым программным обеспечением.
Появление мобильного банковского трояна Crocodilus подчеркивает значительный скачок в сложности и уровне риска современного вредоносного ПО. Его способности к захвату устройства, удаленному управлению и применению черных накладок свидетельствуют о зрелости, редко встречающейся в недавно обнаруженных угрозах, заключает Threat Fabric.