Звіт з кібербезпеки від фірми Threat Fabric виявив новий штам мобільного зловмисного програмного забезпечення під назвою "Crocodilus", яке представляє собою значну загрозу для користувачів Android, використовуючи фальшиві накладки для отримання чутливих фраз-викликів криптовалюти. Це зловмисне програмне забезпечення може взяти під контроль пристрій користувача і потенційно повністю злити їх криптогаманці.
Аналітики Threat Fabric детально описали у своєму звіті від 28 березня, що Crocodilus обманює користувачів через накладку екрана, яка закликає їх резервувати ключі криптогаманця до зазначеного терміну. Якщо користувач надає свій пароль, накладка вказує на серйозне попередження: "Резервуйте ключ вашого гаманця в налаштуваннях протягом 12 годин. В іншому випадку, додаток буде скинуто, і ви можете втратити доступ до свого гаманця." Ця тактика соціальної інженерії спрямовує користувачів на їхній ключ фрази-виклику гаманця, дозволяючи зловмисному програмному забезпеченню записувати критичну інформацію через його реєстратор доступності.
Після отримання фрази-виклику нападники можуть повністю захопити контроль над гаманцем. Незважаючи на те, що це недавно виявлений, Crocodilus демонструє передові можливості, характерні для сучасного банківського зловмисного програмного забезпечення, такі як атаки накладками, складне збирання даних через зняття екрану та дистанційний контроль.
Threat Fabric зазначає, що первинне зараження зазвичай відбувається, коли користувачі ненавмисно завантажують зловмисне програмне забезпечення з іншим програмним забезпеченням, ефективно обходячи захисти безпеки Android 13.
Після установки, Crocodilus закликає користувачів увімкнути служби доступності, що полегшує доступ хакерам. Після отримання доступу зловмисне програмне забезпечення встановлює з'єднання зі сервером командного контролю для отримання інструкцій, включаючи список цільових додатків і їх відповідні накладки.
Crocodilus постійно працює, стежачи за активністю додатків та розгортаючи накладки для перехоплення облікових даних користувача. При відкритті цільового банківського або криптовалютного додатку фальшива накладка приховує легітимну активність, що дозволяє хакерам взяти під контроль і вимкнути звук під час своєї операції.
З вкраденою особистою інформацією та обліковими даними нападники можуть виконувати шахрайські транзакції віддалено без виявлення.
Мобільна команда Threat Fabric з аналізу загроз виявила, що зловмисне програмне забезпечення наразі націлене на користувачів у Туреччині та Іспанії, очікуючи ширше розповсюдження в майбутньому. Розслідування припускає, що розробники можуть спілкуватися турецькою, враховуючи анотації коду, і можуть бути загрозливим актором, відомим як Sybra, або іншим хакером, що експериментує з новим програмним забезпеченням.
Поява мобільного банківського трояна Crocodilus підкреслює значний стрибок у складності та рівні ризику сучасного зловмисного програмного забезпечення. Його здатності захоплення пристрою, дистанційний контроль та застосування чорних накладок свідчать про рівень зрілості, рідко зустрічаючийся у щойно виявлених загрозах, підсумовує Threat Fabric.