网络安全公司Threat Fabric最近的一份报告揭示了一种名为"Crocodilus"的新型移动恶意软件, 该软件通过使用伪装覆盖来获取敏感的加密货币种子短语,对Android用户构成重大威胁。 这种恶意软件可以控制用户的设备,并可能完全掏空他们的加密钱包。
Threat Fabric的分析师在他们3月28日的报告中详细说明,Crocodilus通过屏幕覆盖欺骗用户, 促使他们在指定截止日期前备份他们的加密钱包密钥。如果用户提供了他们的密码,覆盖层会呈现出一个可怕的警告: "在12小时内在设置中备份你的钱包密钥,否则,应用程序将被重置,你可能会失去对钱包的访问。" 这种社会工程策略把用户引导到他们的种子短语钱包密钥,允许恶意软件通过其辅助功能记录器捕获关键信息。
一旦种子短语被获取,攻击者可以完全控制钱包。尽管是新发现的,Crocodilus展示了现代银行恶意软件典型的高级功能, 如覆盖攻击、通过屏幕截图进行复杂的数据收集以及远程设备控制。
Threat Fabric指出,初始感染通常发生在用户无意中下载与其他软件捆绑的恶意软件时, 这有效地规避了Android 13的安全保护。
一旦安装,Crocodilus会提示用户启用辅助功能服务,这为黑客的访问提供了便利。 获得访问权限后,恶意软件建立与指挥和控制服务器的连接以接收指令,包括目标应用程序列表及其相应的覆盖层。
Crocodilus连续运行,监控应用程序活动并部署覆盖层以拦截用户凭据。当打开目标银行或加密货币应用程序时, 伪装的覆盖层隐藏合法活动,使得黑客能够在操作期间接管并静音声音。
通过窃取的个人信息和凭据,攻击者可以进行远程欺诈交易而不会被发现。
Threat Fabric的移动威胁情报团队发现该恶意软件目前针对土耳其和西班牙的用户, 预计未来会更广泛传播。调查表明,鉴于代码注释,开发者可能会说土耳其语, 可能是名为Sybra的威胁行为者或另一名尝试新软件的黑客。
Crocodilus移动银行木马的出现表明当代恶意软件的复杂性和风险水平有了重大飞跃。 它的设备接管能力、远程控制和应用黑色覆盖攻击的能力表明在新发现的威胁中罕见的成熟度,Threat Fabric总结道。