Malware Android ‘Crocodilus’ pode assumir os telefones para roubar criptografia

A empresa de segurança cibernética Ameak Fabric diz que encontrou uma nova família de malware de dispositivos móveis que pode lançar uma sobreposição falsa para que determinados aplicativos induzam os usuários do Android a fornecer suas frases de sementes de criptografia, conforme ele assume o dispositivo.

Analistas de tecidos de ameaças disseram em um relatório de 28 de março que o malware Crocodilus usa uma sobreposição de tela que alerta os usuários para fazer backup de sua chave de carteira de criptografia por um prazo específico ou corre o risco de perder acesso.

“Depois que uma vítima fornecer uma senha do aplicativo, a sobreposição exibirá uma mensagem: faça backup da tecla da carteira nas configurações dentro de 12 horas. Caso contrário, o aplicativo será redefinido e você poderá perder o acesso à sua carteira”, disse o Ameak Fabric.

“Esse truque de engenharia social orienta a vítima a navegar para a chave da carteira de frase de sementes, permitindo que Crocodilus colhe o texto usando seu registrador de acessibilidade”.

Uma vez que os atores de ameaças tiverem a frase de sementes, eles podem assumir o controle completo da carteira e “drenar completamente”.

A Ameak Fabric diz que, apesar de ser um novo malware, o Crocodilus possui todos os recursos do malware bancário moderno, com ataques de sobreposição, colheita avançada de dados através da captura da tela de informações confidenciais, como senhas e acesso remoto para assumir o controle do dispositivo infectado.

A infecção inicial ocorre ao baixar inadvertidamente o malware em outro software que ignora o Android 13 e as proteções de segurança, de acordo com a Ameak Fabric.

Depois de instalado, o Crocodilus solicita que o serviço de acessibilidade seja ativado, o que permite que os hackers obtenham acesso ao dispositivo.

“Uma vez concedido, o malware se conecta ao servidor de comando e controle (C2) para receber instruções, incluindo a lista de aplicativos de destino e as sobreposições a serem usadas”, disse o Ameak Fabric.

Ele é executado continuamente, o monitoramento do aplicativo é lançado e exibindo sobreposições para interceptar credenciais. Quando um aplicativo bancário ou de criptomoeda direcionado é aberto, a sobreposição falsa é lançada por cima e silencia o som enquanto os hackers assumem o controle do dispositivo.

“Com PII roubado e credenciais, os atores de ameaças podem assumir o controle total do dispositivo de uma vítima usando acesso remoto embutido, concluindo transações fraudulentas sem detecção”, disse Fabric.

A equipe de inteligência de ameaças móveis da Ameak Fabrix descobriu que os usuários de malware visam a Turquia e a Espanha, mas disse que o escopo de uso provavelmente será ampliado ao longo do tempo.

Relacionado: Cuidado com o Tradingview ‘rachado’-é um trojan que rouba criptografia

Eles também especularam que os desenvolvedores pudessem falar turco, com base nas notas no código, e acrescentaram que um ator de ameaças conhecido como Sybra ou outro hacker que testou novos softwares poderia estar por trás do malware.

“O surgimento do Crocodilus Mobile Banking Trojan marca uma escalada significativa no nível de sofisticação e ameaça representado por malware moderno”.

“Com seus recursos avançados de compra de dispositivos, recursos de controle remoto e a implantação de ataques de sobreposição de pretos de suas primeiras iterações, Crocodilus demonstra um nível de maturidade incomum em ameaças recém-descobertas”, acrescentou o tecido da ameaça.

Revista: A ridícula fraude de cripto