รายงานล่าสุดจากบริษัทความปลอดภัยไซเบอร์ Threat Fabric เปิดเผยมัลแวร์โทรศัพท์มือถือสายพันธุ์ใหม่ในชื่อ "Crocodilus" ซึ่งเป็น ภัยคุกคามที่สำคัญ ต่อผู้ใช้ Android โดยใช้งานโอเวอร์เลย์ปลอมเพื่อขอข้อมูลสำคัญเกี่ยวกับคริปโตจากผู้ใช้ มัลแวร์ตัวนี้สามารถควบคุมอุปกรณ์และอาจทำให้กระเป๋าเงินคริปโตของผู้ใช้ว่างเปล่าได้อย่างเต็มที่
นักวิเคราะห์ Threat Fabric ได้ ลงรายละเอียด ในรายงานวันที่ 28 มีนาคมว่า Crocodilus ล่อลวงผู้ใช้โดยการใช้หน้าจอคลุมที่บังคับให้ผู้ใช้ทำการสำรองข้อมูลคีย์กระเป๋าเงินคริปโตตามกรอบเวลาที่กำหนดและหากผู้ใช้ให้รหัสผ่านแล้วหน้าจอจะส่งคำเตือนว่า: "สำรองคีย์กระเป๋าเงินของคุณในการตั้งค่าภายใน 12 ชั่วโมง
มิฉะนั้นแอปจะถูกรีเซ็ตและคุณอาจสูญเสียการเข้าถึงกระเป๋าเงินของคุณ" กลยุทธ์วิศวกรรมสังคมนี้กำหนดให้ผู้ใช้เข้าสู่คีย์คำสำคัญที่กระเป๋าเงินของพวกเขา เพื่อให้มัลแวร์เก็บข้อมูลที่สำคัญผ่านการบันทึกความสามารถในการเข้าถึงข้อมูล
เมื่อตรวจสอบคำสำคัญแล้ว ผู้โจมตีสามารถยึดควบคุมกระเป๋าเงินได้เต็มที่ ถึงแม้ว่าจะเพิ่งถูกค้นพบแต่ Crocodilus แสดงให้เห็นคุณสมบัติขั้นสูงบางอย่างซึ่งเป็นเอกลักษณ์ของมัลแวร์ธนาคารสมัยใหม่ เช่น การโจมตีโอเวอร์เลย์ การเก็บรวบรวมข้อมูลขั้นสูงผ่านการถ่ายภาพหน้าจอและการควบคุมอุปกรณ์จากระยะไกล
Threat Fabric ระบุว่า การติดเชื้อครั้งแรกมักจะเกิดขึ้นเมื่อผู้ไม่ตั้งใจดาวน์โหลดมัลแวร์ที่มีแพคเกจมากับซอฟแวร์อื่น ๆ ซึ่งช่วยให้ผ่านการป้องกันความปลอดภัย Android 13 ได้อย่างมีประสิทธิภาพ
เมื่อถูกติดตั้งแล้ว Crocodilus จะเปิดการบริการการสะดวกของผู้ใช้ซึ่งทำให้นักแฮ็กเกอร์เข้าถึงข้อมูลได้ง่ายขึ้น หลังจากเข้าใช้งานแล้ว มัลแวร์ก็จะติดต่อกับเครื่องเซิร์ฟเวอร์คำสั่งและการควบคุมเพื่อรับคำสั่งรวมถึงรายชื่อแอปพลิเคชันที่ต้องการและโอเวอร์เลย์ที่เกี่ยวข้อง
Crocodilus รันอย่างต่อเนื่อง ติดตามกิจกรรมของแอปพลิเคชันและนำโอเวอร์เลย์มาใช้เพื่อดักจับข้อมูลประจำตัวของผู้ใช้ เมื่อแอปธนาคารหรือคริปโตเป้าหมายถูกเปิดออกซึ่งทำให้โอเวอร์เลย์ปลอมซ่อนกิจกรรมที่แท้จริงซึ่งจะทำให้นักแฮ็กเกอร์ควบคุมและปิดเสียงระหว่างการดำเนินการ
ด้วยข้อมูลส่วนบุคคลและข้อมูลประจำตัวที่ถูกขโมย ผู้โจมตีสามารถทำธุรกรรมการเงินที่เป็นการหลอกลวงได้จากระยะไกลโดยไม่มีการตรวจจับ
ทีม Mobile Threat Intelligence ของ Threat Fabric ระบุว่าตอนนี้มัลแวร์มุ่งเป้าผู้ใช้ในตุรกีและสเปน โดยคาดว่าจะขยายการกระจายไปในวงกว้างต่อไปในอนาคต และผลการสอบสวนแนะนำว่า นักพัฒนาอาจพูดภาษาตุรกีจากคำอธิบายโค้ดและอาจเป็นผู้สนใจที่ชื่อว่า Sybra หรือแฮ็กเกอร์ที่ลองใช้ซอฟแวร์ใหม่ๆ
การปรากฏตัวของโทรจันธนาคารมือถือ Crocodilus ชี้ให้เห็นถึงความก้าวหน้าอย่างมากในความซับซ้อนและระดับความเสี่ยงของมัลแวร์ในปัจจุบัน ความสามารถในการประมวลผลการควบคุมอุปกรณ์จากระยะไกลและการใช้งานโอเวอร์เลย์สีดำบอกกล่าวถึงระดับการพัฒนาที่แทบไม่เคยเห็นมาก่อนในภัยคุกคามใหม่ ๆ ที่พบตามที่ Threat Fabric กล่าวสรุป