Một báo cáo gần đây từ công ty an ninh mạng Threat Fabric đã tiết lộ một loại phần mềm độc hại di động mới mang tên "Crocodilus", gây ra đe dọa đáng kể cho người dùng Android bằng cách sử dụng các lớp phủ giả để lấy cụm từ hạt giống tiền điện tử nhạy cảm. Loại phần mềm độc hại này có thể kiểm soát thiết bị của người dùng và có thể rút cạn ví tiền điện tử của họ hoàn toàn.
Các nhà phân tích Threat Fabric chi tiết trong báo cáo ngày 28 tháng 3 rằng Crocodilus lừa người dùng qua lớp phủ màn hình kêu gọi họ sao lưu khóa ví tiền điện tử của mình trước một thời hạn nhất định. Nếu người dùng cung cấp mật khẩu, lớp phủ hiển thị một cảnh báo nghiêm trọng: "Sao lưu khóa ví của bạn trong cài đặt trong vòng 12 giờ.
Nếu không, ứng dụng sẽ được đặt lại, và bạn có thể mất quyền truy cập vào ví của mình." Chiến thuật kỹ thuật xã hội này hướng người dùng đến cụm từ hạt giống khóa ví của họ, cho phép phần mềm độc hại thu thập thông tin quan trọng thông qua trình ghi nhật ký truy cập của nó.
Khi cụm từ hạt giống được thu thập, kẻ tấn công có thể nắm quyền kiểm soát hoàn toàn ví. Mặc dù mới được phát hiện, Crocodilus thể hiện các tính năng tiên tiến thường thấy trong phần mềm độc hại ngân hàng hiện đại, chẳng hạn như tấn công lớp phủ, khai thác dữ liệu tinh vi qua các bức ảnh màn hình và điều khiển thiết bị từ xa.
Threat Fabric lưu ý rằng lây nhiễm ban đầu thường xảy ra khi người dùng vô tình tải xuống phần mềm độc hại gói gọn với phần mềm khác, điều này hiệu quả vượt qua các biện pháp bảo vệ an ninh Android 13.
Khi đã cài đặt, Crocodilus nhắc nhở người dùng kích hoạt dịch vụ truy cập, hỗ trợ hacker có sự truy cập. Sau khi có được quyền truy cập, phần mềm độc hại thiết lập kết nối với máy chủ điều khiển và kiểm soát để nhận hướng dẫn, bao gồm danh sách các ứng dụng mục tiêu và lớp phủ tương ứng của chúng.
Crocodilus chạy liên tục, giám sát hoạt động ứng dụng và triển khai các lớp phủ để chặn thông tin đăng nhập của người dùng. Khi một ứng dụng ngân hàng hay tiền điện tử mục tiêu được mở, lớp phủ giả che giấu hoạt động hợp pháp, cho phép hacker chiếm quyền điều khiển và tắt âm thanh trong quá trình hoạt động.
Với thông tin cá nhân và thông tin đăng nhập bị đánh cắp, kẻ tấn công có thể thực hiện các giao dịch gian lận từ xa mà không bị phát hiện.
Đội Mobile Threat Intelligence của Threat Fabric đã xác định rằng hiện phần mềm độc hại này nhắm vào người dùng ở Thổ Nhĩ Kỳ và Tây Ban Nha, và kỳ vọng sự lan rộng hơn trong tương lai. Quá trình điều tra gợi ý các nhà phát triển có thể nói tiếng Thổ Nhĩ Kỳ, vì những chú thích mã và có thể là một kẻ đe dọa được biết đến với tên Sybra hoặc một hacker khác đang thử nghiệm phần mềm mới.
Sự xuất hiện của Trojan ngân hàng di động Crocodilus nhấn mạnh bước tiến lớn về độ phức tạp và mức độ rủi ro của phần mềm độc hại đương đại. Khả năng kiểm soát thiết bị, điều khiển từ xa và áp dụng các cuộc tấn công lớp phủ đen của nó cho thấy mức độ trưởng thành hiếm thấy trong các mối đe dọa vừa được phát hiện, Threat Fabric kết luận.